前哨|ForceDAO計劃4月20日推出新代幣並重啟空投

4月7日,鏈上基金DeFi項目Force DAO發布文章表示,將針對4月4日的攻擊事件向社區推出補救計劃,並計劃於4月20日發布V2版本,將推出新的FORCE代幣。 Force DAO的補救措施是,在區塊高度12

4月7日,鏈上基金DeFi項目Force DAO發布文章表示,將針對4月4日的攻擊事件向社區推出補救計劃,並計劃於4月20日發布V2版本,將推出新的FORCE代幣。

Force DAO的補救措施是,在區塊高度12171679( UTC時間4月4日 07:06:58 AM)進行快照,然後針對不同用戶採取不同補救措施。

1、此前未認領空投的用戶:繼續以1:1空投新代幣,

2、參與公共測試版和Lightspeed的用戶:將獲得10%的獎勵;

3、SushiSwap和UniSwap LP用戶:4月6日下午2:26 + UTC在CEX配合下,從黑客地址中收回了45枚ETH,佔用戶損失的25%,已經返回給LP用戶。剩餘約75%的損失將以空投新FORCE代幣的形式進行補償。

4、針對利用黑客事件進行套利且遭到損失(恐慌性出售或繼續持有)的用戶:按照損失美元的1.5倍空投,即有50%的補貼,初始價格將設置為1 ETH=3000枚FORCE。

4月4日Force DAO被攻擊事件

4月4日Force DAO正式發布治理代幣FORCE空投,FORCE價格一度上漲至2 USDT。隨後區塊鏈網路記者親眼見證FORCE價格暴跌至0.02 USDT。

很快傳出消息稱FORCE代幣被大量增發。Force DAO發推提醒用戶稱,「請停止在 Sushiswap 和 Uniswap 上的 FORCE/ETH 交易。」

Force DAO表示,「團隊已意識到 xFORCE 合約漏洞,xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

發生黑客攻擊事件后,?Force DAO暫停FORCE代幣空投。

慢霧安全團隊分析發現,在用戶進行deposit操縱時,Force DAO會為用戶鑄造 xFORCE 代幣,並通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 orceProfitSharing 合約並未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE代幣被順利鑄造給用戶,但由於 transferFrom 函數執行失敗 FORCE 代幣並未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。

慢霧表示,此漏洞發生的主要原因在於 FORCE 代幣的 transferFrom 函數使用了「假充值」寫法,但外部合約在對其進行調用時並未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。Force DAO 對此表示,「團隊已意識到 xFORCE 合約漏洞,xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

未來計劃

Force DAO為重啟V2版本,正在計劃進行如下5項工作。

1、內部重組:已經開始重組組織內部的團隊,以更好地體現對安全性和卓越性的承諾。

2、安全審計:目前正在針對新FORCE合約、geyser和merkle distributor進行安全審計。

3、新代幣和空投:計劃在未來10到15天內使用新的FORCE代幣重新部署空投。目標日期是4月20日,取決於安全審計的時間表。

4、質押獎勵:目前所有的FORCE策略都是安全的。所有向平台提供並繼續提供TVL的用戶都將有1.5倍的獎勵。1.5倍獎勵將在明天開始,質押獎勵將在重新空投時可收穫。

5、黑客追蹤:會繼續與中心化交易所和其他相關機構合作以追回更多資金,有痕迹表明黑客在使用Binance和FTX。

—-

編譯者/作者:金色財經 Maxwell

玩幣族申明:玩幣族作為開放的資訊翻譯/分享平台,所提供的所有資訊僅代表作者個人觀點,與玩幣族平台立場無關,且不構成任何投資理財建議。文章版權歸原作者所有。

0

發表迴響