2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。
1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;
2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;
慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]
3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;
慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]
4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;
動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]
5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;
6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;
7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;
8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;
9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;
10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;
11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。
Tags:REWARDWARREWARDSRTOREWARDS價格swarm幣簡介Rewards Tokenporto幣發行量
12月29日消息,重慶市南岸區人民檢察院胡勇發文《應用區塊鏈破解網絡金融犯罪治理難題》表示,將網絡金融機構主要業務上鏈,通過區塊鏈可信存儲的特點實現對鏈上金融服務的監管.
1900/1/1 0:00:00Cardano創始人、IOHK首席執行官CharlesHoskinson在最近的AMA會議上說:“我不認為ETC是我的孩子,我對這個項目沒有期望.
1900/1/1 0:00:00AMBcrypto今日刊文分析稱,PayPal等支付巨頭的支持,有望推動比特幣支付成為主流。然而,比特幣價格迅速上漲,對采用比特幣計價的支付系統構成了嚴峻的挑戰.
1900/1/1 0:00:002月8日消息,總部位于新加坡的Web3.0區塊鏈加速器和投資者LongHashVentures推出了一只1500萬美元的區塊鏈基金.
1900/1/1 0:00:00萊比特礦池CEO江卓爾發微博稱,不少人開始恐慌60日漲幅到100%了,我給一個明確的預言,請各位重視:1、破前高后,因為上漲空間被打開,預期大量新人因新聞效應而進入,市場信心大幅增強.
1900/1/1 0:00:001月7日,推特上名為NickChong的交易員追蹤到一個DeFi巨鯨。根據其追蹤數據,該DeFi巨鯨五個月積聚凈資產2.8億美元.
1900/1/1 0:00:00