以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 幣贏 > Info

慢霧:DeFi 量化對沖基金 Force DAO 項目 FORCE 代幣被大量增發_FORCE

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧區消息,DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發。經慢霧安全團隊分析發現,在用戶進行deposit操縱時,ForceDAO會為用戶鑄造xFORCE代幣,并通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入ForceProfitSharing合約中。但FORCE代幣合約的transferFrom函數使用了if-else邏輯來檢查用戶的授權額度,當用戶的授權額度不足時transferFrom函數返回false,而ForceProfitSharing合約并未對其返回值進行檢查。導致了deposit的邏輯正常執行,xFORCE代幣被順利鑄造給用戶,但由于transferFrom函數執行失敗FORCE代幣并未被真正充值進ForceProfitSharing合約中。最終造成FORCE代幣被非預期的大量鑄造的問題。此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了「假充值」寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用require對其返回值進行檢查,以避免此問題的發生。ForceDAO對此表示,「團隊已意識到xFORCE合約漏洞,xFORCE合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:

1)從 Multichain: Old BSC Bridge 轉出的 USDT;

2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;

3)從 Anyswap: Bridge Fantom 轉出的 BIFI;

4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;

5)從 MultiChain: Doge Bridge 轉出的 USDC;

6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;

7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

分析 | 慢霧:攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析,從DragonEx公布的“攻擊者地址”的分析來看,20 個幣種都被盜取(但還有一些DragonEx可交易的知名幣種并沒被公布),從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同,攻擊持續的時間至少有1天,但能造成這種大面積盜取結果的,至少可以推論出:攻擊者拿下了DragonEx盡可能多的權限,更多細節請留意后續披露。[2019/3/26]

Tags:FORCEORCFORUSDFORCE幣ORCH價格XX PlatformMUSD

幣贏
Hot Chainers首屆大學生區塊鏈應用設計大賽預熱直播:區塊鏈熱潮下的創業思路和方向_區塊鏈

3月29日至31日,Hot?Chainers首屆大學生區塊鏈應用設計大賽系列直播活動在線上舉行,連續三場直播活動.

1900/1/1 0:00:00
關于ZT挖礦寶上線ZTB/BONBON - Litentry挖礦活動的公告_YAM

尊敬的ZT用戶: ZT挖礦寶將于近期上線“ZTB/BONBON-Litentry”挖礦活動。本次活動采用“鎖倉挖礦”的模式,鎖倉周期為15天,參與挖礦的幣種為:ZTB、BONBON,用戶可根據自.

1900/1/1 0:00:00
Bitfly20210405快訊_BIT

Bitfly官方渠道: Bitfly官網:https://www.bitfly.bizBitfly微博:https://weibo.

1900/1/1 0:00:00
晚間必讀5篇 | 美國CFTC鐵拳 BitMEX創始人認罪_以太坊

1.金色觀察|美國CFTC鐵拳BitMEX創始人認罪據彭博社4月7日消息,BitMEX聯合創始人、前CEOArthurHayes近日已在夏威夷向美國當局認罪.

1900/1/1 0:00:00
XT關于暫停 KIND 提幣的公告_COM

尊敬的XT用戶: KIND錢包升級維護,XT現已暫停KIND提幣業務。給您帶來的不便。敬請諒解!感謝您對XT.COM的支持與信任.

1900/1/1 0:00:00
金色觀察丨NFT真如外界宣傳得那么“香”嗎?_NFT

金色財經區塊鏈4月7日訊?相信2021年區塊鏈領域里最火爆的一個應用要數NFT了。僅在二月份,NFT交易總額就達到了3.4億美元,超過了2020年的全年交易額.

1900/1/1 0:00:00
ads