ForceDAO计划4月20日推出新代币并重启空投

4月7日，链上基金DeFi项目Force DAO发布文章表示，将针对4月4日的攻击事件向社区推出补救计划，并计划于4月20日发布V2版本，将推出新的FORCE代币。

Force DAO的补救措施是，在区块高度12171679（ UTC时间4月4日 07:06:58 AM）进行快照，然后针对不同用户采取不同补救措施。

1、此前未认领空投的用户：继续以1：1空投新代币，

2、参与公共测试版和Lightspeed的用户：将获得10％的奖励；

3、SushiSwap和UniSwap LP用户：4月6日下午2:26 + UTC在CEX配合下，从黑客地址中收回了45枚ETH，占用户损失的25%，已经返回给LP用户。剩余约75％的损失将以空投新FORCE代币的形式进行补偿。

4、针对利用黑客事件进行套利且遭到损失（恐慌性出售或继续持有）的用户：按照损失美元的1.5倍空投，即有50%的补贴，初始价格将设置为1 ETH=3000枚FORCE。

4月4日Force DAO被攻击事件

4月4日Force DAO正式发布治理代币FORCE空投，FORCE价格一度上涨至2 USDT。随后金色财经记者亲眼见证FORCE价格暴跌至0.02 USDT。

很快传出消息称FORCE代币被大量增发。Force DAO发推提醒用户称，“请停止在 Sushiswap 和 Uniswap 上的 FORCE/ETH 交易。”

Force DAO表示，“团队已意识到 xFORCE 合约漏洞，xFORCE 合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。”

发生黑客攻击事件后， Force DAO暂停FORCE代币空投。

慢雾安全团队分析发现，在用户进行deposit操纵时，Force DAO会为用户铸造 xFORCE 代币，并通过FORCE代币合约的transferFrom函数将FORCE代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 orceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。

慢雾表示，此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了「假充值」写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。Force DAO 对此表示，「团队已意识到 xFORCE 合约漏洞，xFORCE 合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。」

未来计划

Force DAO为重启V2版本，正在计划进行如下5项工作。

1、内部重组：已经开始重组组织内部的团队，以更好地体现对安全性和卓越性的承诺。

2、安全审计：目前正在针对新FORCE合约、geyser和merkle distributor进行安全审计。

3、新代币和空投：计划在未来10到15天内使用新的FORCE代币重新部署空投。目标日期是4月20日，取决于安全审计的时间表。

4、质押奖励：目前所有的FORCE策略都是安全的。所有向平台提供并继续提供TVL的用户都将有1.5倍的奖励。1.5倍奖励将在明天开始，质押奖励将在重新空投时可收获。

5、黑客追踪：会继续与中心化交易所和其他相关机构合作以追回更多资金，有痕迹表明黑客在使用Binance和FTX。