撰稿:知道创宇区块链安全实验室根据社区消息,ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现,ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情,供大家研究。知道创宇区块链安全实验室分析后发现:用户在通过ForceProfitSharing合约中调用deposit函数进行充值时,会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约,如下图所示:
安全团队:Feminist Metaverse漏洞点为FM Token合约直接向SakeSwapPair转账:5月19日消息,据安全团队成都链安,Feminist Metaverse漏洞点为FM Token合约直接向SakeSwapPair转账,并未通过添加流动性的方式将FM Token代币转入SakeSwapPair。攻击者通过多次转账,将合约地址持有的7515万枚FM Token转移到SakeSwapPair合约中,然后直接通过skim把对应的FM Token币转移到自己账户下,然后再卖出获利。
此前消息,Feminist Metaverse项目遭受攻击,攻击者已将1838BNB转入tornado.cash。[2022/5/19 3:26:22]
BiKi平台SAKE连续3日累计涨幅106.14%:据BiKi行情数据显示,截止今日19:00( GMT+8),平台内币种SAKE连续3日上涨,累计涨幅达106.14%,现价0.1136USDT。行情波动较大,请注意风险控制。
SakeSwap(清酒) 提供ILO资产发行平台并支持滑点捕捉提高50%LP收益。
根据Debank数据,SakeSwap目前日活数据在AMM DEX中全网排名第7。SakeSwap.finance是BSC上唯一具备滑点捕捉功能的DEX ,已经完成BSC 测试网部署,近期将完成迁移部署。[2021/3/10 18:33:13]
通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险,即使用if…else写法来进行条件判断,如下图所示:代币合约地址:https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
荣控股(Sakae Holdings)董事长符标熊加入NULS项目顾问团队:据NULS官方twitter消息,新加坡制造业联合会(SMF)会长、上市公司荣控股(Sakae Holdings)董事长符标熊加入NULS项目顾问团队,为NULS的发展提供专业意见,并在商业合作及应用落地等领域贡献力量。符标熊曾于1997年创办“荣寿司”,并最先使用电子点餐系统,后来创办荣金融科技公司(Sakae Fintech),推出外汇投资手机应用,利用人工智能让用户掌握外汇投资的行情走向分析和投资方案。[2018/4/9]
transferFrom函数实际调用doTransfer函数进行代币转账,该函数中转账条件未使用硬判断,返回false导致实际转账条件不满足时,代币并未被实际转账进入ForceProfitSharing合约,从而导致xFORCE代币被大量铸币。
创宇区块链安全实验室发现,从该链接开始,xFORCE合约的_totalSupply变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
创宇区块链安全实验室再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台:www.attest.im联系我们:blockchain@knownsec.com知道创宇区块链安全实验室导航微信公众号@创宇区块链安全实验室
微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。