金色前哨|ForceDAO計劃4月20日推出新代幣並重啓空投
4月7日,鏈上基金DeFi項目Force DAO發布文章表示,將針對4月4日的攻擊事件向社區推出補救計劃,並計劃於4月20日發布V2版本,將推出新的FORCE代幣。
Force DAO的補救措施是,在區塊高度12171679( UTC時間4月4日 07:06:58 AM)進行快照,然後針對不同用戶採取不同補救措施。
1、此前未認領空投的用戶:繼續以1:1空投新代幣,
2、參與公共測試版和Lightspeed的用戶:將獲得10%的獎勵;
3、SushiSwap和UniSwap LP用戶:4月6日下午2:26 + UTC在CEX配合下,從黑客地址中收回了45枚ETH,佔用戶損失的25%,已經返回給LP用戶。剩余約75%的損失將以空投新FORCE代幣的形式進行補償。
4、針對利用黑客事件進行套利且遭到損失(恐慌性出售或繼續持有)的用戶:按照損失美元的1.5倍空投,即有50%的補貼,初始價格將設置為1 ETH=3000枚FORCE。
4月4日Force DAO被攻擊事件
4月4日Force DAO正式發布治理代幣FORCE空投,FORCE價格一度上漲至2 USDT。隨後金色財經記者親眼見證FORCE價格暴跌至0.02 USDT。
很快傳出消息稱FORCE代幣被大量增發。Force DAO發推提醒用戶稱,“請停止在 Sushiswap 和 Uniswap 上的 FORCE/ETH 交易。”
Force DAO表示,“團隊已意識到 xFORCE 合約漏洞,xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。”
發生黑客攻擊事件後, Force DAO暫停FORCE代幣空投。
慢霧安全團隊分析發現,在用戶進行deposit操縱時,Force DAO會為用戶鑄造 xFORCE 代幣,並通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 orceProfitSharing 合約並未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE代幣被順利鑄造給用戶,但由於 transferFrom 函數執行失敗 FORCE 代幣並未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。
慢霧表示,此漏洞發生的主要原因在於 FORCE 代幣的 transferFrom 函數使用了「假充值」寫法,但外部合約在對其進行調用時並未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。Force DAO 對此表示,「團隊已意識到 xFORCE 合約漏洞,xFORCE 合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」
未來計劃
Force DAO為重啓V2版本,正在計劃進行如下5項工作。
1、內部重組:已經开始重組組織內部的團隊,以更好地體現對安全性和卓越性的承諾。
2、安全審計:目前正在針對新FORCE合約、geyser和merkle distributor進行安全審計。
3、新代幣和空投:計劃在未來10到15天內使用新的FORCE代幣重新部署空投。目標日期是4月20日,取決於安全審計的時間表。
4、質押獎勵:目前所有的FORCE策略都是安全的。所有向平臺提供並繼續提供TVL的用戶都將有1.5倍的獎勵。1.5倍獎勵將在明天开始,質押獎勵將在重新空投時可收獲。
5、黑客追蹤:會繼續與中心化交易所和其他相關機構合作以追回更多資金,有痕跡表明黑客在使用Binance和FTX。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
金色財經 Maxwell
文章數量
186粉絲數
0