Force - REKT

Слабость - Сила

Также читать эту статью на:

en - es - fr - ko - ru - zh

Никто не замечал белую шляпу, пока не стало слишком поздно.

Сообщество FORCE устроило рагпул самому себе.

В 08:50 UTC в дискорде проекта Force DAO появилось следующее сообщение.

Нам сообщили, что в контракте FORCE/xFORCE был обнаружен баг. Тот, кто его обнаружил, вывел все токены для их же безопасности на время, пока свяжется с нами. Мы все начеку и работаем над этим. Учитывая эту информацию, пожалуйста, не предпринимайте попыток торговать токенами FORCE, пока мы улаживаем ситуацию.

К сожалению, сообщение поступило слишком поздно. Сообщество уже слило свои токены, и хакер в белой шляпе остался с мешком в руках.

Цена токена FORCE упала на 90% за считанные минуты.

Чеканка 347,432,986 xFORCE 0xdf05020d5d3c3a975627ce29f24b4eb8ccb8807f9f9c9aa05e644c61fe5f0141

Вывод 4112 FORCE с использованием начеканенных xFORCE 0x3b60252b36d2de2930a64f360926bfcba44d12ff44719de3c6dd486b9dafe118

Продажа FORCE через 1inch 0x03c84e3f7d9c117260a49bab6bd9cb1b2d7e1cbc6d9362e74c10ef6d48a987e6

Возврат 14,833 FORCE 0xfda56d853714860e79512791d065a626e5102d52934c769e981619daf3c85f33

И в итоге другие хакеры, как стервятники, налетели (из-за плохой работы отдела безопасности), чтобы подобрать остатки.

Деньги были возвращены, и Force едва не заработали себе местечко на нашей доске почета. Но зачем этичному хакеру брать на себя эту ответственность, если он мог возложить ее на команду?

Повлияет ли это на цену BADGER?

Говорит ли это о некомпетентности команды, или хакер хотел выгородить себя? Кто угодно мог начеканить и украсть это все и, как написал samczsun:

смешно до усрачки, хранилище xforce не проверило возвращаемое значение на transferFrom

Один из участников нашего отдела безопасности заметил:

Они используют многолетний контракт MiniMeToken. Он не восстанавливает, а возвращает значение false, если вы выполняете transferFrom без подтверждения или с недостаточным количеством фондов. Так что это само по себе проблематично. Нужно было обернуть это в безопасную функцию TransferFrom.

Но тогда они в любом случае могли бы использовать для FORCE токенный контракт получше!

Теперь даже аирдропы могут стоить вам денег.

То, что считалось самым маленьким аирдропом за всю историю может в итоге обернуться чистой потерей для пользователей, которые сделали запрос на вывод после того, как вычли траты на газ.

Force DAO: за самым маленьким аирдропом последовал самый легкий взлом.

Пожалуйста, если вы хотите заставить нас работать в воскресенье, то хотя бы постарайтесь сделать так, чтобы это было интересно.

Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.