ForceDAO 项目 xFORCE 大量增发事件简析
摘要: Force DAO 项目遭遇“假充值”攻击导致 xFORCE 代币被大量增发。
撰稿:知道创宇区块链安全实验室
根据社区消息,Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现,Force DAO 项目资金库被清空主要是由于其项目 xFORCE 代币被大量增发导致。
以下为分析详情,供大家研究。
知道创宇区块链安全实验室分析后发现:用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时,会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约,如下图所示:
通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险,即使用 if…else 写法来进行条件判断,如下图所示:
代币合约地址:
https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
transferFrom 函数实际调用 doTransfer 函数进行代币转账,该函数中转账条件未使用硬判断,返回 false 导致实际转账条件不满足时,代币并未被实际转账进入 ForceProfitSharing 合约,从而导致 xFORCE 代币被大量铸币。
创宇区块链安全实验室发现,从该链接
(https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)开始,xFORCE 合约的_totalSupply 变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
创宇区块链安全实验室再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。
作者:创宇区块链安全实验室;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com
评论(0)
Oh! no
您是否确认要删除该条评论吗?