[Force DAO 代币增发漏洞简析]据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。
dForce总锁仓量达2亿美元 未来将继续接入Curve.fi等协议:9月28日,去中心化金融协议dForce官方发文,宣布dForce流动性挖矿的香槟塔池和淘金池第九周激励维持不变,即香槟塔池(1号池支持dToken;DF奖励总量仍为26万枚DF)和淘金池(2号池针对GOLDx/USDx;2.5万枚DF)截止于10月5日;奇点池第九周激励方案另行通知。此外官方表示,截至9月28日,dForce总锁仓量达到2亿美元。未来dToken将继续接入Curve.fi等其他流动性协议。[2020/9/29]
Ampleforth:已部署升级合约,可阻止KuCoin攻击者转移被盗AMPL:Ampleforth(AMPL)官方发推称,9月25日,KuCoin交易所被黑,超过1.5亿美元的代币被盗,其中包括1400万枚AMPL,约占AMPL循环供给量的10%。在此之后,Ampleforth迅速部署了升级合约,可阻止KuCoin攻击者转移被盗AMPL,自被盗事件发生至今,所有被盗的AMPL仍被锁定(在原地址)中。[2020/9/28]
动态 | Fortress向Mt.Gox数千名债权人发送信件表示愿意购买其债权:据Theblock消息,Fortress Investment Group已向现已终止交易的加密货币交易所Mt.Gox的数千名债权人发送了信件,表示愿意购买其债权。此前消息,Mt.Gox在2014年破产,此前该公司损失了价值超过4.8亿美元的比特币。去年,日本法院将Mt.Gox的案件状态从破产改为民事恢复,这使得该公司得以重组业务,并可能导致债权人收回部分资产。根据其网站上的最新报告,Mt.Gox目前代表债权人持有141,868比特币,占最初损失的940,000比特币的15%。[2019/12/20]
郑重声明: Force DAO 代币增发漏洞简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。