Force Dao代币增发漏洞简析及结果＆如何兑换矿金所的算力产品

一、FORCE代币增发

据慢雾区消息，4月4号，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。

经慢雾安全团队分析发现：

在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。

此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。（以上内容来自慢雾团队）

正常来说，force和xforce应该是一比一的兑换比率 。没想到被黑客发现了合约代码的漏洞，并利用这个漏洞大量增发了xforce代币，导致后面force和xforce兑换比率暴跌，1000 xforce差不多等于1force。
　　
　　
　　
　　

幸好force的这个漏洞先被一个白帽子黑客发现了，白帽子黑客把截获的960万美元资金返还给了项目方。
　　

另外两个黑帽子黑客也套现了一部分的资金，但是他们的地址关联了交易所，后面应该还是会返还回来。

二、如何兑换矿金所的算力产品？

最近，矿金所举办了一个免费送算力的活动，最高奖励有fil，最低奖励有7天的以太坊算力产品。

活动时间有三天，第一天，我参与了，走了25951步，25951步相当于走了13公里的路程。

走完的第二天 ，脚特别酸，可能是太久没有走过这么长的路了。

后面，我用兑换码兑换了一个28天的算力产品。

有币友问到这个算力产品是怎么兑换的。

首先，兑换码是要在APP里兑换的，还没有注册下载APP的朋友，先用手机号注册下载。

然后，登陆账号，在我的-卡劵包-兑换中心，输入兑换码，注意啦，兑换码要一个字母一个字母输入，因为兑换码复制粘贴不了。

输入兑换码之后，显示兑换成功。

如果要查看自己兑换的算力产品，回到我的-我的订单-合约算力订单查看。

这个活动的算力产品是免费送的，现在还有很多没有送出，抽奖送fil的那个奖项比较值钱，但是第一天晚上就兑完了，不知道哪位幸运儿抽到了fil。

ps
conv的空投，目前我还没有收到，不过也有其他人的到账了，有人问客服为什么还没有收到空投，客服说因为参与的用户太多了，数据还在统计中，预计这周会发放完毕。

conv当时写的时候，价格在5毛左右，现在涨到了9毛左右。

可能是项目方怕被砸盘，才分批发放空投。还没有收到的币友，请耐心等待。

（全文完）

最近本人在评论区回复时，显示不能频繁留言， 想要获取100key奖励的币东，请在评论时留下你们的EOS地址，但只留eos地址的视无效评论。

最后随机抽3位点赞、评论，转发的老铁送100key，欢迎留下你的评论和eos地址（只留eos地址视为无效评论）

广告1：

库币 ： 库币是一家全球化的交易所，在国内国外都有一定的知名度，内有免费机器人跑网格，有兴趣的朋友可以注册了解一下了解相关的信息。

广告2：粉笔矿池是由币乎币东自发组建的自治，共治型矿池，我们在服务好KEY东的同时会开发出更多更好的理财产品回馈广大币东的支持和信任。我们正在竞选EOS公链的全球备选节点，请为bp.pink投一票，粉笔矿池有你更精彩！敬请关注矿池存KEY及退出流程图和每日动态，矿池存KEY地址keyctrl.pink（MYKEY或TP钱包直接转帐即可，智能合约自动返币分红，请添加资产PKEY和PINK)：

想了解我们PINK更多的币东朋友，请移步阅读白皮书：粉红梦庄园白皮书

　 第一次新加入的朋友扫码进群发mykey钱包或者tp钱包的eos地址可以获取空投10pink和百万猫猫币