Source: DeFi Hedge Fund Force DAO Attacked; FORCE Token Plunges – CoinDesk
Le smart contract DAO FORCE (DAO pour Organisation Autonome Décentralisée) vient d’être hacké pour la deuxième fois en 1 an. Les hackeurs ont exploité une faille du code permettant de générer des jetons falsifiés en appelant les fonctions fondamentales du contrat: c’est ce qu’on appelle couramment un bug d’inflation dans le jargon des cryptomonnaies. Les hackeurs ont ensuite vendu une partie de leurs jetons falsifiés sur les places de marché crashant le prix du jeton de -79% en 24 heures.
Le prix du token FORCE vient donc de chuter en conséquence de 275 USD à 1,10 USD comme on peut le voir sur Nomics.com (-79%).
Ci-dessous la suite de tweets d’un utlisateur expliquant le bug et faisant l’analyse de la chaîne.
This means anyone can call the `deposit` function of the xFORCE contract even if they do not have any FORCE tokens. The xFORCE contract will mint them fresh xFORCE tokens even though it will fail to lock their non existent FORCE tokens.
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
Once you have the xFORCE tokens, you can withdraw the real FORCE tokens from the xFORCE contract by calling the `withdraw` function and exchanging your xFORCE tokens for FORCE tokens.
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
The xFORCE contract has already been drained by https://t.co/pCfyPP2NS9
This is a well known / common bug in the Solidity world. It's almost certain that no security expert has reviewed these contracts. Force DAO is lucky that the hacker has returned the funds.
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
Please do not launch your products without audits or at least peer reviews.
Hacker 4 - Drained about 300k FORCE tokens, sold most of them on DEXs for ~50 ETH ($100k).https://t.co/YME1GUGpib
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
Hacker 5 - Drained about 1.1m FORCE tokens, sold some for ~45 ETH ($95k).https://t.co/1upadhvjOU@etherscan Can you please tag these accounts as hackers as well?
Les hackeurs, au nombre apparemment de 4, ont réussi à vendre environ 350 000 USD de jetons FORCE avant d’être repérés par les exchanges. L’un des hackeurs aurait apparemment rendu une partie des jetons falsifiés au contrat.
Les bugs d’inflation sont les pires bugs que peuvent avoir une blockchain. Ils obligent des développeurs à créer un fork de leur propre chaîne contenant un patch permettant d’exclure les jetons falsifiés. C’est donc une approche révisionniste du code de consensus.
Ce bug d’inflation aurait pu être évité si le code n’avait pas été écrit en spaghetti en exposant les utilisateurs directement au cœur du code de consensus de la chaîne.
Pour rappel, le code de HEX est verrouillé à jamais et le code de consensus est isolé et encapsulé de manière à ne pas exposer les parties malveillantes aux fonctions fondamentales du contrat pour éviter ces bugs d’inflation.
Ce bug d’inflation aurait aussi pu être évité si le code avait été dûment testé et expertisé par des auditeurs indépendants sous toutes les coutures.
Le contrat intelligent HEX a été expertisé par trois auditeurs indépendants avant d’être lancé (voir CoinFabrik).
Pour le moment le trading des jetons FORCE est interrompu sur les principales plateformes de trading en attendant le fork. Les développeurs sont en ce moment en train d’étudier les possibilités de soft fork ou hard fork.