ForceDAO 项目 xFORCE 大量增发事件简析

撰稿：知道创宇区块链安全实验室

根据社区消息，Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现，Force DAO 项目资金库被清空主要是由于其项目 xFORCE 代币被大量增发导致。

以下为分析详情，供大家研究。

知道创宇区块链安全实验室分析后发现：用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时，会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约，如下图所示：

通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险，即使用 if…else 写法来进行条件判断，如下图所示：

代币合约地址：

https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

transferFrom 函数实际调用 doTransfer 函数进行代币转账，该函数中转账条件未使用硬判断，返回 false 导致实际转账条件不满足时，代币并未被实际转账进入 ForceProfitSharing 合约，从而导致 xFORCE 代币被大量铸币。

创宇区块链安全实验室发现，从该链接

（https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange）开始，xFORCE 合约的_totalSupply 变量状态开始出现交易异常：

最终导致如下图所示的异常铸币数量：

创宇区块链安全实验室再次警惕项目方进行代币合约开发时，使用正确的代币转账逻辑，谨防假充值攻击带来的异常程序执行。

作者：创宇区块链安全实验室；来自链得得内容开放平台“得得号”，本文仅代表作者观点，不代表链得得官方立场凡“得得号”文章，原创性和内容的真实性由投稿人保证，如果稿件因抄袭、作假等行为导致的法律后果，由投稿人本人负责得得号平台发布文章，如有侵权、违规及其他不当言论内容，请广大读者监督，一经证实，平台会立即下线。如遇文章内容问题，请发送至邮箱：linggeqi@chaindd.com