摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日,區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代幣被大量增發,ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞,并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」
過去一周Circle USDC流通量減少19億美元:金色財經報道,據官方數據,過去7天Circle共發行6億美元USDC,贖回25億美元USDC,流通量減少約19億美元。截至3月30日,USDC總流通量為326億美元,儲備量為330億美元,其中現金40億美元,短期美國國債290億美元。[2023/4/2 13:40:10]
400
Web3安全基礎設施Trusta Labs完成超300萬美元種子輪融資:1月17日消息,據官方推特,Web3安全基礎設施Trusta Labs宣布完成超300萬美元種子輪融資,SevenX Ventures和元璟資本(Vision Plus Capital)領投,HashKey Capital、Redpoint China Ventures、GGV Capital和SNZ Holding參投,所籌資金將用于新產品研發、促進新用戶吸納和轉化以及對價值用戶的留存和運營。據介紹,Trusta Labs專注于Web3安全基礎設施,于2022年10月成立,并在次月獲得Gitcoin Open Data Hackathon冠軍。[2023/1/17 11:16:16]
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
電商巨頭eBay已收購NFT交易平臺KnownOrigin:6月22日消息,全球電商巨頭eBay已于今日完成對NFT交易平臺KnownOrigin的收購交易,具體金額及條款暫未透露。本次收購旨在將eBay的影響力和聲譽與KnownOrigin的領先技術相結合,為新一代NFT創作者、賣家和買家提供支持。
KnownOrigin于2018年成立,旨在使藝術家和收藏家能夠通過區塊鏈支持交易創建、購買和轉售NFT。(美通社)[2022/6/22 1:24:37]
一、攻擊分析
ConsenSys Mesh選擇Codefi Staking運營其在以太坊上的驗證器:據官方消息,ConsenSys Mesh選擇了ConsenSys的機構級質押服務Codefi Staking來運營其在以太坊上的驗證器。
ConsenSys于2020年12月推出Codefi Staking,作為一個面向交易所、托管方、基金、錢包和其他機構的以太坊質押即服務平臺。Codefi Staking有助于消除質押ETH的技術和操作風險,幫助機構實現回報最大化。如今,Codefi Staking運行著超過8000個以太坊驗證器節點,擁有99.95%的正常運行時間記錄。
Codefi Staking將在其多區域、多云和多客戶端平臺上分發MESH的驗證器。在與Codefi Staking合作時,MESH將保留對其ETH的托管和控制權。[2022/6/1 3:56:48]
通過初步分析,ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候,鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下:合約地址為:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼:
可以看到合約在幫用戶鑄造xFORCE之后,然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom:合約地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在這個合約中只判斷了用戶的額度,當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定,所以無論用戶賬戶中是否有足夠的額度,都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE,而后再使用xFORCE的withdraw函數,就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。
這個是其中一個攻擊者的錢包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通過withdraw將得到的xFORCE轉換為FORCE
二、SharkTeam安全建議
在本次攻擊事件中,主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值,導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞,可以在關鍵邏輯上增加權限控制,在項目上線之前請專業的智能合約審計機構進行嚴格的審計,保障智能合約和數字資產安全。
9月24日中午,名為“街舞怪才”的用戶在淘寶阿里拍賣平臺拍賣編號為NO.1的杭州亞運會數字火炬NFT。有用戶出價至大約315萬人民幣。據了解,該NFT全球限量發行2萬份,初始售價僅為39元.
1900/1/1 0:00:00在以太坊Layer2擴展網絡Arbitrum和Optimism網絡都宣布其主網的公開測試版正式啟動后,Layer2的整體數據增長都極其明顯.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00來源:財聯社|區塊鏈日報 作者:張洋洋 近日,這家社交媒體巨頭宣布推出5000萬美元的元宇宙基金,用以支持公司對于元宇宙的全球研究和項目投資.
1900/1/1 0:00:00來源:TheEconomist 編輯:南風 上圖:美國加密貨幣投資者的受教育程度(左)及其家庭收入水平(右)與非加密貨幣投資者的對比《經濟學人》調查:37%受訪者希望比特幣在本國合法化:6月6日.
1900/1/1 0:00:00據Techyno9月20日消息,根據評論網站CryptoHead的最新行業研究,由于加密貨幣ATM的激增以及加州人口對數字資產的興趣日益濃厚,加利福尼亞已成為美國加密貨幣就緒度最高的州.
1900/1/1 0:00:00