摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
汇丰投资管理:美国经济转衰会促美联储更早降息,年内恐下调100个基点:1月30日消息,汇丰投资管理认为,随着美国经济显露出衰退迹象,美联储今年改变立场进行降息的动作会比货币市场预期得更早更激进。该公司全球首席策略师Joe Little表示,美联储今年年底可能会前降息100个基点,是目前美国利率掉期所消化50个基点的两倍。他还认为存在2024年再下调200个基点的可能。美国2年期国债对政策变化最为敏感,其收益率已从去年11月触及的15年高点大幅回落,但Little认为市场对宽松的定价尚不充分。
(金十)[2023/1/30 11:36:59]
400
美国银行:“做多科技股”仍是最拥挤的交易,其次是比特币等:美国银行:“做多科技股”仍是最拥挤的交易,其次是比特币和环境、社会与企业管理(ESG);约43%的投资者认为美国10年期国债收益率达到2%可能导致股市回调。(金十)[2021/3/16 18:49:33]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
美国各州对比特币接受度:华盛顿特区第一 新罕布什尔州随后:RewardExpert近日从比特币ATM的安装数量、接受比特币作为支付选项的机构数量两个维度,调研了美国各州对比特币的接受度,结果显示:华盛顿特区排名第一,该区每百万人中有2.39个比特币ATM。排名第二的是新罕布什尔州,该地区有62家机构接受数字货币作为支付手段。然而,比特币的热度在美国比较集中,全国仍有24个州没有一个比特币ATM。此外,RewardExpert调查了对数字货币最感兴趣的三个州,排名前三为:加利福尼亚州、纽约和新泽西州。[2018/5/4]
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
比推消息,VitalikButerin在最新博文中宣布了新的ERC-4337更新提案。他还在文章中讨论了更新后将引入的新功能以及新ERC给网络带来的可能性.
据Bitcoin.com消息,9月23日,乌克兰已经采取措施来监管其不断扩大的加密空间。本月早些时候,乌克兰议会通过了一项“关于虚拟资产”的法律,使加密货币相关活动合法化,目前正在研究有关加密货.
据dailyhodl今日消息,《经济学人》在近期的文章中称特币与传统市场的低相关性使其成为潜在的多元化的极好来源.
据TheBlock10月19日报道,加密友好的远程招聘公司Deel在完成4.25亿美元D轮融资之后,估值已达到55亿美元.
北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失.
《区块链行业观察》专栏·第51篇作者丨JoanneMolinaro,NathanA.Beaver 图片丨来源于网络 许多公司需要强大的供应链可追溯性,对于最普遍的追踪挑战.