ORC:百密一疏：Force DAO假充值攻擊事件分析

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日，區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代幣被大量增發，ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞，并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

Cool Cats：已向Journey 6參與者空投Aurorium代幣:5月12日消息，藍籌 NFT項目Cool Cats在社交媒體宣布Journey 6參與者最近已經收到了Aurorium代幣空投，參與者收到的Aurorium代幣數量取決于他們的旅程分數。

據悉，Aurorium分為四個等級：Aurorium Shard，Aurorium Crystal，Aurorium Gem和Aurorium Radiance，是一種具有“變革潛力”的象征性代幣（symbolic token）。[2023/5/12 14:58:41]

400

SwapX攻擊事件相關地址已將200枚BNB轉至Tornado Cash:金色財經報道，PeckShieldAlert顯示，標記為“Token Approval（SwapX）Exploiter”的地址已將200枚BNB轉移到Tornado Cash。[2023/3/17 13:10:47]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

Hooked Protocol：將部署新uHGT代幣合約并進行代幣遷移:12月19日消息，Web3社交網絡Hooked Protocol發布uHGT安全事件澄清和代幣遷移解決方案相關文章。12月18日發生一起uHGT代幣安全事件，團隊立即發現風險，并部署修復措施以解決該事件。BUSD和HOOK代幣的所有用戶資產都是安全且不受影響的。應用內體驗和uHGT收益正常。在遷移期間，每個uHGT代幣的固定匯率設置為0.000002 BUSD。[2022/12/19 21:53:53]

一、攻擊分析

派盾：5月份DeFi漏洞損失7400萬美元 下降82%:6月1日消息，據派盾預警監測，DeFi漏洞在5月份的損失金額為7400萬美元，下降了82%。此外，截至5月31日，DeFi的TVL從1月份的2000億美元下降到1100億美元，跌幅近50%。[2022/6/1 3:55:01]

通過初步分析，ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候，鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下：合約地址為：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼：

可以看到合約在幫用戶鑄造xFORCE之后，然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom：合約地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度，當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定，所以無論用戶賬戶中是否有足夠的額度，都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE，而后再使用xFORCE的withdraw函數，就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通過withdraw將得到的xFORCE轉換為FORCE

二、SharkTeam安全建議

在本次攻擊事件中，主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值，導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞，可以在關鍵邏輯上增加權限控制，在項目上線之前請專業的智能合約審計機構進行嚴格的審計，保障智能合約和數字資產安全。

Tags：ORCFORCEFORORIUMTORCBanana Task Force Apeforth幣最新價格Sensorium

比特幣價格今日行情