比特币:百密一疏：Force DAO假充值攻击事件分析_加密货币

摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日，区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代币被大量增发，ForceDAO?表示「团队已意识到?xFORCE?合约漏洞，并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」

汇丰投资管理：美国经济转衰会促美联储更早降息，年内恐下调100个基点:1月30日消息，汇丰投资管理认为，随着美国经济显露出衰退迹象，美联储今年改变立场进行降息的动作会比货币市场预期得更早更激进。该公司全球首席策略师Joe Little表示，美联储今年年底可能会前降息100个基点，是目前美国利率掉期所消化50个基点的两倍。他还认为存在2024年再下调200个基点的可能。美国2年期国债对政策变化最为敏感，其收益率已从去年11月触及的15年高点大幅回落，但Little认为市场对宽松的定价尚不充分。

(金十)[2023/1/30 11:36:59]

400

美国银行：“做多科技股”仍是最拥挤的交易，其次是比特币等:美国银行：“做多科技股”仍是最拥挤的交易，其次是比特币和环境、社会与企业管理（ESG）；约43%的投资者认为美国10年期国债收益率达到2%可能导致股市回调。（金十）[2021/3/16 18:49:33]

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

美国各州对比特币接受度：华盛顿特区第一 新罕布什尔州随后:RewardExpert近日从比特币ATM的安装数量、接受比特币作为支付选项的机构数量两个维度，调研了美国各州对比特币的接受度，结果显示：华盛顿特区排名第一，该区每百万人中有2.39个比特币ATM。排名第二的是新罕布什尔州，该地区有62家机构接受数字货币作为支付手段。然而，比特币的热度在美国比较集中，全国仍有24个州没有一个比特币ATM。此外，RewardExpert调查了对数字货币最感兴趣的三个州，排名前三为：加利福尼亚州、纽约和新泽西州。[2018/5/4]

一、攻击分析

通过初步分析，ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候，铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下：合约地址为：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码：

可以看到合约在帮用户铸造xFORCE之后，然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom：合约地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在这个合约中只判断了用户的额度，当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定，所以无论用户账户中是否有足够的额度，都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE，而后再使用xFORCE的withdraw函数，就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。

这个是其中一个攻击者的钱包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通过withdraw将得到的xFORCE转换为FORCE

二、SharkTeam安全建议

在本次攻击事件中，主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值，导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞，可以在关键逻辑上增加权限控制，在项目上线之前请专业的智能合约审计机构进行严格的审计，保障智能合约和数字资产安全。

标签：比特币加密货币OINNFT比特币以太坊是什么意思加密货币交易违法吗agavecoinNFTA

BNB价格热门资讯