撰稿:知道创宇区块链安全实验室根据社区消息,ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现,ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情,供大家研究。知道创宇区块链安全实验室分析后发现:用户在通过ForceProfitSharing合约中调用deposit函数进行充值时,会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约,如下图所示:
比特币闪电网络通道数量为76,238个:金色财经报道,1ML数据显示,当前比特币闪电网络节点为16,052个,过去30天增加0.65%;通道数量为76,238个,较一个月前增加了0.4%;网络容量为5,360.60枚BTC,月涨2%。[2023/2/21 12:18:44]
通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险,即使用if…else写法来进行条件判断,如下图所示:代币合约地址:https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
动态 | 灰度调查:女性投资者对比特币也有着浓厚的兴趣:数字资产管理公司灰度(Grayscale Investments)发布了一项新研究,以了解女性和男性对比特币是否有共同的认知。该调查涉及1100名年龄在25岁至64岁之间的美国投资者,其家庭收入至少为5万美元,个人投资至少为1万美元。调查结果显示,女性投资者对比特币也有着浓厚的兴趣。对比特币感兴趣的受访者中有43%是女性。其中,80%的受访对象对比特币的增长潜力很感兴趣,93%的人则表示如果能获得更多的教育资源,其会对比特币这一资产类别的态度将更加开放。(Bitcoin Exchange Guide)[2019/12/11]
安卓系统首个全面支持闪电网络的比特币钱包在Google Play上推出:据btcmanager消息,安卓系统第一个全面支持闪电网络的比特币钱包于5月31日在Google Play上发布。这个名为Lightning Wallet的发行版包含一个完全可操作的闪电节点,提供链上比特币和链下闪电网络交易。[2018/6/2]
transferFrom函数实际调用doTransfer函数进行代币转账,该函数中转账条件未使用硬判断,返回false导致实际转账条件不满足时,代币并未被实际转账进入ForceProfitSharing合约,从而导致xFORCE代币被大量铸币。
创宇区块链安全实验室发现,从该链接开始,xFORCE合约的_totalSupply变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
创宇区块链安全实验室再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台:www.attest.im联系我们:blockchain@knownsec.com知道创宇区块链安全实验室导航微信公众号@创宇区块链安全实验室
微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。