Force DAO 代幣增發漏洞簡析

據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。

Ampleforth：已部署升級合約，可阻止KuCoin攻擊者轉移被盜AMPL:Ampleforth（AMPL）官方發推稱，9月25日，KuCoin交易所被黑，超過1.5億美元的代幣被盜，其中包括1400萬枚AMPL，約占AMPL循環供給量的10%。在此之后，Ampleforth迅速部署了升級合約，可阻止KuCoin攻擊者轉移被盜AMPL，自被盜事件發生至今，所有被盜的AMPL仍被鎖定（在原地址）中。[2020/9/28]

ReForK杯2020年私域流量評級大賽520開啟:據官方消息，ReForK杯2020年私域流量評級大賽520開啟，本活動是“區塊鏈環保項目ReFork”在中國開啟的第二個大型活動，同時由DAD超會玩聯盟主辦，并由BOXEX、LBANK、SOSOLX、鏈向財經、財路網、N13孵化機構、CEO Global、Anypay、考拉財經、世鏈財經、果味財經、魔方數據、青水評級等聯合主辦。通過多維度的公開公正評級，尋找行業最優質社區，同時聯合主辦方共同贊助選出的每個社區60BTC等值的獎品，REFORK希望這次活動能重新定義社區品牌，致力于帶動行業的正向發展。[2020/5/20]

動態 | The Crypto Company前CEO成立新的對沖基金Terraform Capital:The Crypto Company前首席執行官Mike Poutre已經成立了一支新對沖基金Terraform Capital，直接投資于與分布式賬本技術相關的業務。Poutre本人及曾任美國空軍情報部門和國家安全局密碼專家的Ryan Fabian為該基金的普通合伙人。（BusinessWire）[2019/10/16]