ForceDAで大攻撃の被害
ForceDAOは日本時間の4月4日深夜、大きな攻撃を受けたことが分かった。ホワイトハットハッカーがスマートコントラクトのコードにバグを発見し、1,480万のFORCEトークンを取得することに成功していたことが分かった。
POST-MORTEM
To the Force and DeFi community, we’d like to share a post-mortem on the recent xFORCE exploit.
Thanks to everyone technical and non-technical who helped along the way.
Especially to the White Hat who helped deter FORCE getting drained.https://t.co/MK2GH69yLd
— Force (@force_dao) April 4, 2021
ForceDAOが4月4日、大規模な攻撃を受けたことが分かった。この攻撃は、スマートコントラクトのコードにバグがあるというもので、ホワイトハッカーが発見。同エクスプロイトは、xFORCEコントラクトのコードのバグに集中しており、FORCEトークンを保持しているかどうかに関係なく、誰でも「デポジット」関数を呼び出すことができていたとのこと。ボールト内のトークンをロックすることなく、コントラクトからxFORCEトークンを作成することが可能であったとのこと。なお、コントラクトの「withdraw」関数を呼び出すことで、誰でもこれらのトークンをFORCEと交換できる。
すでに複数の攻撃者が個のエクスプロイトを利用
既に複数の攻撃者が今朝早くこのエクスプロイトを利用し、そのうちの1つは約1,480万のFORCEを取り、当時の想定価値は約3,400万ドル(約37億6,000万円)で、後に攻撃者らは資金をプールに返還している。
しかし、他の4人はさらに675万のトークンを使い果たしており、さまざまな取引所でETHとの交換を開始。ホワイトハット攻撃者はすでにエクスプロイトを発見していたため、流動性が急落し、後続のすべての攻撃者がFORCEで獲得する収益が大幅に少なくなった。
PolymathNetworkのブロックチェーンチームリーダーであるムディット・グプタ(Mudit Gupta)氏は、Twitterで攻撃の詳細を説明。
xFORCE contract from @force_dao hacked and drained by a whitehacker. In the FORCE token, the transfer functions return false rather than reverting when the sender doesn’t have enough balance. The xFORCE contract assumes FORCE will revert and does not handle the returned value. pic.twitter.com/lPo9vJ48bs
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
ForceDAOは昨日、待望のエアドロップを開催しました。このエアドロップでは、FORCEトークンがアクティブなイーサリアムユーザーに配布されました。
CoinMarketCapより画像引用
CoinMarketCapの調べによると、4月4日午後7時前には、1FORCE=50円前後で取引されていたものの、5日午前には1FORCE=5.3円前後で推移しており、大幅な下落を記録した。
ブラックハットの攻撃者の1人は、集中型取引所FTXにリンクされたアドレスを使用。これにより、資金が回収される可能性があるものの、残りの大半が、1インチの分散型取引所とSushiSwapを通じてすでに販売されていることから、回収のめどは未定である。
なお、ForceDAOは攻撃を確認するためにTwitterを利用。チームによると、事後分析および報告が現在も続いている。
