FORCE:ForceDAO 项目 xFORCE 大量增发事件简析_orc币能买吗

撰稿：知道创宇区块链安全实验室根据社区消息，ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现，ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情，供大家研究。知道创宇区块链安全实验室分析后发现：用户在通过ForceProfitSharing合约中调用deposit函数进行充值时，会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约，如下图所示：

通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险，即使用if…else写法来进行条件判断，如下图所示：代币合约地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

transferFrom函数实际调用doTransfer函数进行代币转账，该函数中转账条件未使用硬判断，返回false导致实际转账条件不满足时，代币并未被实际转账进入ForceProfitSharing合约，从而导致xFORCE代币被大量铸币。

创宇区块链安全实验室发现，从该链接开始，xFORCE合约的_totalSupply变量状态开始出现交易异常：

最终导致如下图所示的异常铸币数量：

创宇区块链安全实验室再次警惕项目方进行代币合约开发时，使用正确的代币转账逻辑，谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台：www.attest.im联系我们：blockchain@knownsec.com知道创宇区块链安全实验室导航微信公众号@创宇区块链安全实验室

微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

标签：ORCFORFORCE区块链orc币能买吗FOREVERUPWork Force Coin区块链的几个大局有哪些

波场热门资讯