加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > FTT > Info

KingDefi收益計算邏輯漏洞分析_DEF:DEFI

Author:

Time:1900/1/1 0:00:00

漏洞原因

近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。

在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。

電競明星Susie Kim推出SUSIE粉絲代幣:電子競技明星Susie Kim今天宣布推出SUSIE粉絲代幣,這是一種在Rally開放平臺上為粉絲參與創建的定制加密貨幣。Kim還加入了Rally,擔任電子競技和游戲社區的顧問。(EsportsInsider)[2020/11/19 21:24:08]

如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。

動態 | Kik宣布已出售其消息應用程序:Kik周五宣布,其消息應用程序已經被運營Whisper的控股公司MediaLab收購。MediaLab在周五的博客文章中表示,該消息應用程序將繼續啟用kin交易。據悉,該消息平臺背后的公司Kik Interactive目前卷入了與美國證券交易委員會(SEC)的法律訴訟,SEC稱Kik在2017年底通過代幣銷售籌集1億美元時違反了證券法。(coindesk)[2019/10/19]

聲音 | Kik創始人:希望盡快和SEC法庭見,盡快清除加密貨幣監管政策的不確定性:即時通訊軟件Kik及區塊鏈項目Kin創始人Ted Livingston表示,針對美國證券監管委員會(SEC)提出的加密貨幣Kin 在ICO中涉嫌違反證券法規的說法,Kik從一開始就選擇了堅決不與SEC和解的立場,因為該團隊認為,大部分區塊鏈團隊規模較小、資金實力有限,無法與監管機構進行有效對話,最終總會選擇息事寧人,最終導致加密貨幣行業監管政策不明朗、充滿不確定性,加密行業必須有人站出來與監管機構進行正面交鋒。“Kik 希望迅速推進訴訟流程,盡快與 SEC 在法庭相見,通過法律手段,清除加密貨幣監管政策的不確定性,從而推動行業的發展。”Ted Livingston說,正是處于該考慮,才會發起“捍衛加密貨幣Defend Crypto”活動,希望加密行業支持該公司與SEC展開法律斗爭,就Kik在2017年進行的ICO是否存在監管風險的爭議中捍衛自己的權利,更希望將目標擴展至支持所有面臨SEC監管風險的區塊鏈公司。(鏈聞)[2019/6/20]

如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。

動態 | Kin基金會發起籌款活動挑戰SEC,要求對加密貨幣進行新的豪伊測試:據ambcrypto消息,摩根溪數字資本聯合創始人Anthony Pompliano最近宣布,因為美國證券交易委員(SEC)會對加密領域采取的限制措施開啟了危險的先例,扼殺了創新。Kin基金會正在發起一場運動,要求對加密貨幣進行新的豪伊測試(Howey Test),以便對加密領域進行更好的監管。基金會目前已與Coinbase為運動預留了500萬美元,以便在法律上采取措施,同時呼吁其他人為基金捐款,活動目前已籌集了25.95萬美元。[2019/5/28]

通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復

那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。

發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。

對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結

Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i

Tags:DEFSECKINDEFIAurusDeFisecret幣現怎么樣BKING價格DeFi Land

FTT
教你用中學數學課理解Rollup_ROLL:BenjiRolls

本文作者:BenjaminSimon,原發布于2021年6月1日,編譯:Vane從中學數學講起讓我們從一個比喻開始。想象一下,我們又回到了中學數學課上.

1900/1/1 0:00:00
NFT對數據要素市場發展有何啟示?_NFT:區塊鏈

作者:HashkeyReserach;撰文:曹一新,就職于HashKeyCapitalResearch;審核:鄒傳偉.

1900/1/1 0:00:00
助警追回上百億元資產:歐科云鏈鏈上天眼Pro成效初顯_區塊鏈:1INCH

在新基建政策支持下,區塊鏈行業迅猛發展,在金融科技、數字政務等領域發展繁榮。行業的野蠻生長,一方面印證了區塊鏈技術的價值,另一方面也暴露出了加密貨幣犯罪、洗錢等問題.

1900/1/1 0:00:00
a16z:你想知道的關于 DeFi 的一切_EFI:DeFine

來源:a16z內容網站Future;撰文:MarvinAmmori,UniswapLabs首席法務官;編輯:南風關于去中心化金融,也即「DeFi」,有很多的炒作、議論、懷疑、困惑和興奮之處.

1900/1/1 0:00:00
漢全咨詢:我們為何投資Cope?_COPE:COPE價格

簡介 加密生態大受追捧,每天都有層出不窮的新項目。無論是播客和研報,還是數據分析工具,抑或是SubStacks和Telegram群組,隨時都會源源不斷地產生各種相關信息.

1900/1/1 0:00:00
BitMEX創始人:以史為鑒,為什么做空整個加密市場是愚蠢的_BIT:COVER

本文作者:BitMEX創始人ArthurHayes 對于那些擁有彭博終端的人,請運行FARBASTIndex。這是以百萬美元為單位的美聯儲資產負債表的指數,每周更新一次.

1900/1/1 0:00:00
ads