Raczkujący zdecentralizowany protokół finansowy miał trudny wyjątkowo debiut – kilka wtargnięć hakerów miało miejsce zaledwie kilka godzin po jego uruchomieniu.
Oparty na Ethereum agregator zysków dopiero co rozpoczął kampanię airdrop 3 kwietnia 2021 r., kiedy czterech złośliwych hakerów zwanych „czarnymi kapeluszami” zdołało wyssać z niego łącznie 183 Ether (ETH) o wartości około 367 000 dolarów. Atakujący wykorzystali błąd w kodzie kontraktu xFORCE, który pozwalał na wywołanie funkcji „deposit” niezależnie od posiadanych tokenów FORCE. W ten sposób możliwe było wyemitowanie tokenów xFORCE z kontraktu bez blokowania jakichkolwiek tokenów w skarbcu. Na szczęście jeden przyjazny haker z „białego kapelusza” pomógł zespołowi, ostrzegając go, aby zapobiec dalszym stratom.
Zespół opublikował raport z ataków i wziął na siebie odpowiedzialność za coś, co nazwał „nadzorem inżynieryjnym”. Podjęto również decyzję o przeniesieniu 60 milionów tokenów FORCE z portfela skarbowego z wieloma sygnaturami do portfela wdrożeniowego w celu utworzenia i wykonania trzech głosów, które skutecznie spalą salda FORCE na trzech adresach hakerów.
W raporcie wyjaśniono, że platforma xFORCE, której dotyczyło zdarzenie, była rozwidleniem inteligentnego kontraktu SushiSwap zawierającego mechanizm przywracania tokenów w przypadku nieudanych transakcji. Protokół opisuje xFORCE jako „oprocentowaną” wersję FORCE, reprezentującą udziały w swoich pulach podobnie do sposobu działania tokenów dostawców płynności.
Usterka w umowie wykorzystywanej przez ForceDAO umożliwiła atakującym wykorzystanie tego mechanizmu do wybicia tokenów xFORCE, które następnie zostały wycofane i wymienione na rynkach na ETH. Zespół przyznał, że atakowi można było stosunkowo łatwo zapobiec. „Można było tego dokonać używając standardowego Open Zeppelin ERC-20 lub dodając opakowanie safeTransferFrom w kontrakcie xSUSHI” – napisano w komunikacie.
Tymczasem trwają ustalenia szczegółów co do włamania. Wiadomo już , że niektóre adresy pochodziły z popularnych giełd FTX i Binance.
Force to protokół, którego celem jest generowanie zwrotów z protokołów DeFi w celu zapewnienia inwestorom bezpiecznego finansowania. Celem projektu jest wdrażanie wysokowydajnych produktów DeFi klasy instytucjonalnej, od strategii inwestycyjnych po technologie analityczne i infrastrukturalne.