DeFi对冲基金Force DAO在xFORCE代币利用中损失超过37.5万美元

周日，DeFi对冲基金ForceDAO宣布对其协议进行攻击-特别是xFORCE合同。 在ForceDAO团队的事后报告中，总计183 ETH（?367,000美元）在合同漏洞利用后被耗尽并清算。

注意力

我们的团队意识到xFORCE合同的利用，并确定了问题的本质。

xFORCE合同上没有其他可用资金。

所有其他保管库都是安全的。

我们将在接下来的几个小时内提供验尸和后续步骤。

— Force（@force_dao）2021年4月4日

白帽黑客首先注意到了该攻击，该黑客开始从xFORCE合同中提取资金，然后将资金退还到ForceDAO multisig钱包。 Polymath的Mudit Gupta在解释此漏洞时说，当发件人的钱包里没有足够的余额时，FORCE令牌传输函数将返回false而不是还原。

Gupta解释说：“ xFORCE合同假定FORCE将还原并且不处理返回的值。”

这意味着任何人都可以存放合成的FORCE令牌xFORCE，即使他们没有任何FORCE令牌也是如此。 因此，攻击者可以在没有xFORCE合同锁定任何FORCE令牌的情况下铸造新的xFORCE令牌。

一旦获得了xFORCE令牌，就可以通过调用`withdraw`函数并将xFORCE令牌交换为FORCE令牌，从而从xFORCE合同中提取真正的FORCE令牌。

xFORCE合同已由https://t.co/pCfyPP2NS9耗尽

— Mudit Gupta（@Mudit__Gupta）2021年4月4日

四个黑帽黑客没有退还他们的资金，而是在公开市场上出售了他们的xFORCE合同，总计亏损36.7万美元。 这是黑客用来耗尽资金的地址的完整列表。

根据该帖子，UniSwap和SushiSwap上的Force，xForce和Force / ETH LP均受到影响。 此后，该团队已从合同中删除了所有xFORCE令牌，以防止进一步的黑客入侵。 ForceDAO的创始人Alberto Cevallos确认，他们将退还被黑客入侵的所有相关方，并奖励白帽黑客。

Cevallos说：“我可以确认会有快照和新令牌。” “我们已经开始内部重组，并将在未来几天内宣布一项计划，以使所有受影响的FORCE持有人和有限合伙人完整。”

DeFi对冲基金Force DAO在xFORCE代币利用中损失超过5k的帖子首次出现在BitcoinExchangeGuide上。

—-

原文链接：https://bitcoinexchangeguide.com/force-dao-a-defi-hedge-fund-loses-over-375k-in-xforce-token-exploit/

原文作者：Lujan Odera

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。