百密一疏：Force DAO假充值攻擊事件分析_FORCE

Author：

Time：1900/1/1 0:00:00

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日，區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代幣被大量增發，ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞，并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

俄羅斯下議院通過數字盧布法案:金色財經報道，7月11日，俄羅斯下議院通過了數字盧布法案。現在該文件面臨參議院的確認，然后由總統簽署。該法案的最后一次修訂草案于6月底，規定了平臺、參與者和用戶的法律定義，以及CBDC生態系統的一般準則。

在當前框架下，俄羅斯中央銀行（CBR）將成為數字盧布基礎設施的主要運營商。它還對所有存儲的資產承擔責任。CBR稱，CBDC的主要目標是作為一種支付和轉賬方式。因此，其用戶將無法開設儲蓄賬戶。支付和轉賬對個人客戶是免費的，而企業客戶則需要支付0.3%的費用。[2023/7/12 10:50:18]

400

某獨立礦工幸運獲得14.8萬美元比特幣區塊獎勵:金色財經報道，一位獨立礦工因將區塊780,112添加到比特幣區塊鏈而獲得價值14.8萬美元的區塊獎勵。

BTC.com數據顯示，該礦工使用Solo CK Pool挖礦服務建立了一個獨立礦池并獲得6.25 BTC的區塊獎勵和大約0.63 BTC的費用獎勵。通常這種規模的礦工平均需要10個月時間才能創建有效交易，但該礦工只用了2天時間。據社區用戶@ckpooldev披露數據顯示，該礦工的平均算力只有6.7 PH/s，相比之下當前世界上最大礦池Foundry USA的算力為107 EH/s，是其約15,970倍。（Decrypt）[2023/3/13 12:59:38]

美國1月非農就業人數增加51.7萬人，為2022年7月以來最大增幅:金色財經報道，美國1月非農就業人數增加51.7萬人，預估為增加19萬人，前值為增加22.3萬人。為2022年7月以來最大增幅。[2023/2/3 11:46:14]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

一、攻擊分析

通過初步分析，ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候，鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下：合約地址為：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼：

Bifrost與Coinbase Cloud達成戰略合作:9月9日消息，據官方消息，Bifrost近日宣布與去中心化基礎設施供應商Coinbase Cloud達成長期戰略合作。Coinbase Cloud將通過其專業的去中心化解決方案為Bifrost實現跨鏈流動性目標提供支持。

Coinbase Cloud將提供高回報和穩定的Kusama驗證節點來支持 liquid KSM-vKSM。Bifrost也將幫助Coinbase Cloud的Kusama節點在Bifrost活躍的驗證節點集中運行。[2022/9/9 13:19:39]

可以看到合約在幫用戶鑄造xFORCE之后，然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom：合約地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度，當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定，所以無論用戶賬戶中是否有足夠的額度，都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE，而后再使用xFORCE的withdraw函數，就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0