Force DAO 代币增发漏洞简析

据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。

Force DAO 代币增发漏洞简析本文于2021/4/4 17:13:57被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢Force DAO 代币增发漏洞简析,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯：

dForce借贷协议新增对UNI、DF、GOLDx、BUSD、HBTC的支持:3月17日消息，去中心化金融协议社区提议将dForce根据社区治理提案DIP007，决定新增对UNI、DF、GOLDx、BUSD、HBTC五种数字资产的支持，五种资产均可作为抵押物借出其他资产。

dForce借贷协议新增对UNI、DF、GOLDx、BUSD、HBTC的支持本文于2021/3/18 14:55:38被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢dForce借贷协议新增对UNI、DF、GOLDx、BUSD、HBTC的支持,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[2021/3/17 14:55:39]

Cosmos 开发公司 Informal Systems 计划起草第 2 阶段白皮书:据官方消息，Cosmos 开发公司 Informal Systems 宣布正在开发一种可共享安全性的跨链验证机制，这是一种 IBC 数据包协议，允许 Hub 上已质押的 ATOM 验证者可选择为其他链提供安全性。目前，Cosmos 计划起草第 2 阶段白皮书，根据该起草白皮书，Cosmos 提出了父子链共享安全性的机制，父链上（Parent blockchain）的验证者可为一个新的区块链（子链）提供安全保障，验证者会在父链上质押资产 ATOM，其必须在子链上行为正确，一旦在子链上产生恶意行为，都会导致父链上的大幅度削减。此外，Cosmos 的 Hub 自带 AMM 模块。

Cosmos 开发公司 Informal Systems 计划起草第 2 阶段白皮书本文于2021/2/21 9:18:07被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢Cosmos 开发公司 Informal Systems 计划起草第 2 阶段白皮书,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[2021/2/21 9:18:08]

dForce总锁仓量达2亿美元 未来将继续接入Curve.fi等协议:9月28日，去中心化金融协议dForce官方发文，宣布dForce流动性挖矿的香槟塔池和淘金池第九周激励维持不变，即香槟塔池（1号池支持dToken；DF奖励总量仍为26万枚DF）和淘金池（2号池针对GOLDx/USDx；2.5万枚DF）截止于10月5日；奇点池第九周激励方案另行通知。此外官方表示，截至9月28日，dForce总锁仓量达到2亿美元。未来dToken将继续接入Curve.fi等其他流动性协议。[2020/9/29]

相关资讯