In un attacco condotto domenica sulla piattaforma DeFi ForceDAO, un gruppo di hacker ha sottratto 183 Ether (ETH), per un valore di circa 386.000$ al momento della stesura di questo articolo. Dopo un sell-off iniziale, nel corso della giornata di ieri il token nativo di ForceDAO, FORCE, è entrato in recovery mode.
In una serie di messaggi su Twitter, ForceDAO ha spiegato in modo dettagliato l'incidente avvenuto domenica, assumendosi la totale responsabilità per la grave falla che ha reso possibile l'attacco:
"Vorremmo condividere con la community di Force e del settore DeFi questo post-mortem sul recente exploit di xFORCE. Volevamo ringraziare tutti coloro che ci hanno dato aiuto, sia di natura tecnica che non.
Un ringraziamento speciale va all'hacker white hat che ci ha aiutato ad impedire che FORCE venisse totalmente prosciugato."
POST-MORTEM
— Force (@force_dao) April 4, 2021
To the Force and DeFi community, we'd like to share a post-mortem on the recent xFORCE exploit.
Thanks to everyone technical and non-technical who helped along the way.
Especially to the White Hat who helped deter FORCE getting drained.https://t.co/MK2GH69yLd
In un successivo post, il lead developer Alberto Cevallos ha spiegato:
"Il vault xFORCE è un fork del contratto xSUSHI, che presuppone il ripristino dei token nel caso in cui la transazione non vada a buon fine.
Il token utilizzato da Force DAO è un token Aragon Minime, che nel caso di fallimento della call 'transferFrom' restituisce un booleano 'Falso' invece di ripristinare i fondi.
Gli hacker sono stati in grado di depositare token FORCE che avrebbero fallito la call 'transferFrom' e di ricevere token xFORCE, in quanto il contratto xFORCE si aspetta un ripristino del token ma invece riceve 'Falso'.
Un utente poteva poi prelevare questi nuovi xFORCE appena coniati per i token FORCE rimanenti nel vault, e liquidarli in cambio di ETH sugli exchange.
Avremmo potuto evitare tutto questo semplicemente utilizzando lo standard per ERC-20 Open Zeppelin, oppure aggiungendo un wrapper safeTransferFrom al contratto xSUSHI."
Durante l'attacco sono stati compromessi altri 14,8 milioni di token FORCE, i quali sono stati successivamente restituiti alla pool.
Spesso definito un quantitative hedge fund, FORCE è sia un protocollo che una Decentralized Autonomous Organization (DAO): è progettato per produrre migliori opportunità di yield farming per la sua community.
Il prezzo del token FORCE è collassato di oltre il 99%, dai 2,21$ di domenica a un minimo di appena 0,02$ il giorno successivo. Attualmente il suo prezzo oscilla attorno ai 0,10$.