Уязвимость кода стала причиной воскресного обвала служебной криптовалюты ForceDAO на выходных, хакеры нашли лазейку для вывода инвестиций из пулов проекта, практически без финансовых вложений. Угроза бесконтрольного увеличения эмиссии привела к падению стоимости токена с $2,30 до $0,17.
Разработчики ForceDAO оценивают ущерб от атаки в 183 ETH, примерно $367 тысяч, обещая возместить потери всем пострадавшим инвесторам.
Команда сделала снимок блокчейна до атаки и планирует провести миграцию на новый протокол с устраненным багом. Сейчас разработчики готовят отчет с подробностями по обнаруженной уязвимости, а также планами по компенсации и обмену токенов.
По предварительным данным сторонних наблюдателей, на ForceDAO было проведено в общей сложности три атаки. Первая принадлежала «белым хакерам», обнаружившим проблему в выпуске «промежуточной» криптовалюты xForce. Она выпускалась взамен токенов Force, передаваемых в пул ForceProfitSharing через функцию transferFrom.
Проблема заключалась в работе логики if-else для верификации депозит и авторизации пользователя. Отсутствие депозита возвращало в смарт-контракт значение «false», но в реальности код ForceProfitSharing не проверял это значение.
Хакеры получали xForce «просто так», базе размещения в пуле реального токена Force. Полученные средства обменивались на ETH через биржу Uniswap. Больших убытков удалось избежать благодаря тому, то первым проблему обнаружили «белые хакеры». Разработчики закрыли функцию выпуска xForce, а биржа Uniswap убрала ликвидность на обменах.