根據社羣訊息,force dao 專案資金庫被駭客攻擊。知道創宇區塊鏈安全實驗室 第一時間跟進分析發現,force dao 專案資金庫被清空,主要是其專案 xforce 代幣被大量增發導致。
以下為分析詳情,供大家研究。
知道創宇區塊鏈安全實驗室分析後發現:使用者在透過 forceprofitsharing 合約中呼叫 deposit 函式進行充值時,會透過其專案代幣的 transferfrom 函式將對應數量的 force 代幣充值進 forceprofitsharing 合約,如下圖所示:
透過分析其 force 代幣合約發現其 transferfrom 函式實現存在假充值風險,即使用 if…else 寫法來進行條件判斷,如下圖所示:
代幣合約地址:
https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
transferfrom 函式實際呼叫 dotransfer 函式進行代幣轉賬,該函式中轉賬條件未使用硬判斷,返回 false 導致實際轉賬條件不滿足時,代幣並未被實際轉賬進入 forceprofitsharing 合約,從而導致 xforce 代幣被大量鑄幣。
創宇區塊鏈安全實驗室發現,從該連結
(https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)開始,xforce 合約的_totalsupply 變數狀態開始出現交易異常:
知道創宇區塊鏈安全實驗室官網:www.knownseclab.com
知道創宇唯一指定存證平臺:www.attest.im
聯絡我們:[email protected]
知道創宇區塊鏈安全實驗室導航
微信公眾號
@ 創宇區塊鏈安全實驗室
微博
@ 知道創宇區塊鏈實驗室
https://weibo.com/blockchainlab
知乎
@ 知道創宇區塊鏈安全實驗室
https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shi
twitter
@ks_blockchain_
https://twitter.com/ks_blockchain