ForceDAO项目xFORCE大量增发事件简析

撰稿：知道创宇区块链安全实验室

根据社区消息，Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现，Force DAO 项目资金库被清空主要是由于其项目 xFORCE 代币被大量增发导致。以下为分析详情，供大家研究。

知道创宇区块链安全实验室分析后发现：用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时，会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进?ForceProfitSharing 合约，如下图所示：

通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险，即使用 if…else 写法来进行条件判断，如下图所示：代币合约地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

transferFrom 函数实际调用 doTransfer 函数进行代币转账，该函数中转账条件未使用硬判断，返回 false 导致实际转账条件不满足时，代币并未被实际转账进入 ForceProfitSharing 合约，从而导致 xFORCE 代币被大量铸币。

创宇区块链安全实验室发现，从该链接（https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange）开始，xFORCE 合约的_totalSupply 变量状态开始出现交易异常：

最终导致如下图所示的异常铸币数量：

创宇区块链安全实验室再次警惕项目方进行代币合约开发时，使用正确的代币转账逻辑，谨防假充值攻击带来的异常程序执行。

知道创宇唯一指定存证平台：www.attest.im联系我们：[email protected]

知道创宇区块链安全实验室导航

微信公众号

@ 创宇区块链安全实验室

微博@ 知道创宇区块链实验室https://weibo.com/BlockchainLab

知乎@ 知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shi

Twitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

—-

编译者/作者：知道创宇区块链安

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。