金色前哨｜ForceDAO計劃4月20日推出新代幣並重啓空投

4月7日，鏈上基金DeFi項目Force DAO發布文章表示，將針對4月4日的攻擊事件向社區推出補救計劃，並計劃於4月20日發布V2版本，將推出新的FORCE代幣。

Force DAO的補救措施是，在區塊高度12171679（ UTC時間4月4日 07:06:58 AM）進行快照，然後針對不同用戶採取不同補救措施。

1、此前未認領空投的用戶：繼續以1：1空投新代幣，

2、參與公共測試版和Lightspeed的用戶：將獲得10％的獎勵；

3、SushiSwap和UniSwap LP用戶：4月6日下午2:26 + UTC在CEX配合下，從黑客地址中收回了45枚ETH，佔用戶損失的25%，已經返回給LP用戶。剩余約75％的損失將以空投新FORCE代幣的形式進行補償。

4、針對利用黑客事件進行套利且遭到損失（恐慌性出售或繼續持有）的用戶：按照損失美元的1.5倍空投，即有50%的補貼，初始價格將設置為1 ETH=3000枚FORCE。

4月4日Force DAO被攻擊事件

4月4日Force DAO正式發布治理代幣FORCE空投，FORCE價格一度上漲至2 USDT。隨後金色財經記者親眼見證FORCE價格暴跌至0.02 USDT。

很快傳出消息稱FORCE代幣被大量增發。Force DAO發推提醒用戶稱，“請停止在 Sushiswap 和 Uniswap 上的 FORCE/ETH 交易。”

Force DAO表示，“團隊已意識到 xFORCE 合約漏洞，xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。”

發生黑客攻擊事件後， Force DAO暫停FORCE代幣空投。

慢霧安全團隊分析發現，在用戶進行deposit操縱時，Force DAO會為用戶鑄造 xFORCE 代幣，並通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 orceProfitSharing 合約並未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE代幣被順利鑄造給用戶，但由於 transferFrom 函數執行失敗 FORCE 代幣並未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。

慢霧表示，此漏洞發生的主要原因在於 FORCE 代幣的 transferFrom 函數使用了「假充值」寫法，但外部合約在對其進行調用時並未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。Force DAO 對此表示，「團隊已意識到 xFORCE 合約漏洞，xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

未來計劃

Force DAO為重啓V2版本，正在計劃進行如下5項工作。

1、內部重組：已經开始重組組織內部的團隊，以更好地體現對安全性和卓越性的承諾。

2、安全審計：目前正在針對新FORCE合約、geyser和merkle distributor進行安全審計。

3、新代幣和空投：計劃在未來10到15天內使用新的FORCE代幣重新部署空投。目標日期是4月20日，取決於安全審計的時間表。

4、質押獎勵：目前所有的FORCE策略都是安全的。所有向平臺提供並繼續提供TVL的用戶都將有1.5倍的獎勵。1.5倍獎勵將在明天开始，質押獎勵將在重新空投時可收獲。

5、黑客追蹤：會繼續與中心化交易所和其他相關機構合作以追回更多資金，有痕跡表明黑客在使用Binance和FTX。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。