以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:Force DAO 代幣增發漏洞簡析_FOR

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發,經慢霧安全團隊分析發現:

在用戶進行deposit操縱時,ForceDAO會為用戶鑄造xFORCE代幣,并通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入ForceProfitSharing合約中。但FORCE代幣合約的transferFrom函數使用了if-else邏輯來檢查用戶的授權額度,當用戶的授權額度不足時transferFrom函數返回false,而ForceProfitSharing合約并未對其返回值進行檢查。導致了deposit的邏輯正常執行,xFORCE代幣被順利鑄造給用戶,但由于transferFrom函數執行失敗FORCE代幣并未被真正充值進ForceProfitSharing合約中。最終造成FORCE代幣被非預期的大量鑄造的問題。

慢霧:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息,2022年01月18日,一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]

此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用require對其返回值進行檢查,以避免此問題的發生。

慢霧:有用戶遭釣魚攻擊,在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息,有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析,此是由于該受害用戶遭受釣魚攻擊,錯誤的對攻擊者精心構造的惡意訂單進行簽名,惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配,并以攻擊者指定的極低價格成交,導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]

Tags:FORORCFORCETRADeFi ForgeEfforceGFORCETRADE

幣安app下載
BitMEX 創始人 Arthur Hayes:聊聊 DeFi 收益耕作風險_DEF

本文發布于鏈聞ChainNews,作者:ArthurHayes,BitMEX創始人,翻譯:盧江飛。新冠病疫情爆發之后,我成為了一名狂熱的自行車手,我每周會騎行兩次,每次40-60公里.

1900/1/1 0:00:00
上周發生12起公鏈基礎設施進展與新聞 |公鏈周報_以太坊

據鏈捕手不完全統計,3月1日到7日期間,公鏈基礎設施方向主要發生了12起重要新聞,涉及以太坊、Cardano、Conflux、Cosmos、Taraxa等公鏈.

1900/1/1 0:00:00
硅谷王川:為什么說優質 NFT 潛力遠大于實體收藏品?_NFT

本文發布于公眾號investguru,原文標題:《王川:為什么優質NFT潛力遠大于實體收藏品》1/2021年三月十二日,在全球兩千兩百萬直播觀眾的注視下.

1900/1/1 0:00:00
美 SEC 專員公布代幣安全港提案 2.0 版,提議允許區塊鏈初創項目在 3 年寬限期內籌集資金_ENT

鏈捕手消息,美國證券交易委員會委員HesterPeirce公布其提議的《代幣安全港提案》2.0版本,并提出三年寬限期,建議允許區塊鏈初創項目滿足一定條件時可籌集資金,以資助其開發工作.

1900/1/1 0:00:00
穩定幣抵押平臺Iron Finance被攻擊損失17萬美元,將于3月18日重啟_穩定幣

鏈捕手消息,基于幣安鏈的穩定幣抵押平臺IronFinance被攻擊,兩個vFarm流動資金池共損失17萬美元.

1900/1/1 0:00:00
固定利率協議Element Finance獲440萬美元融資,a16z和Placeholder領投_ETH

鏈捕手消息,固定利率協議ElementFinance宣布完成了一輪440萬美元的種子輪融資,據悉,本輪融資的領投機構是AndreessenHorowitz和Placeholder.

1900/1/1 0:00:00
ads