慢霧：DeFi 量化對沖基金 Force DAO 項目 FORCE 代幣被大量增發_FORCE

鏈聞消息，據慢霧區消息，DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發。經慢霧安全團隊分析發現，在用戶進行deposit操縱時，ForceDAO會為用戶鑄造xFORCE代幣，并通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入ForceProfitSharing合約中。但FORCE代幣合約的transferFrom函數使用了if-else邏輯來檢查用戶的授權額度，當用戶的授權額度不足時transferFrom函數返回false，而ForceProfitSharing合約并未對其返回值進行檢查。導致了deposit的邏輯正常執行，xFORCE代幣被順利鑄造給用戶，但由于transferFrom函數執行失敗FORCE代幣并未被真正充值進ForceProfitSharing合約中。最終造成FORCE代幣被非預期的大量鑄造的問題。此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了「假充值」寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用require對其返回值進行檢查，以避免此問題的發生。ForceDAO對此表示，「團隊已意識到xFORCE合約漏洞，xFORCE合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

分析 | 慢霧：攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析，從DragonEx公布的“攻擊者地址”的分析來看，20 個幣種都被盜取（但還有一些DragonEx可交易的知名幣種并沒被公布），從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同，攻擊持續的時間至少有1天，但能造成這種大面積盜取結果的，至少可以推論出：攻擊者拿下了DragonEx盡可能多的權限，更多細節請留意后續披露。[2019/3/26]

Tags：FORCEORCFORUSDFORCE幣ORCH價格XX PlatformMUSD

幣贏