加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 幣贏 > Info

慢霧分析 Cover 協議攻擊流程:rewardWriteoff 新舊參數差值導致計算出更大的鑄造獎勵數量_WAR:KEN

Author:

Time:1900/1/1 0:00:00

鏈聞消息,針對DeFi保險項目Cover協議被攻擊一事,慢霧安全團隊對整個攻擊流程進行了簡要分析:1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;2.攻擊者在第一次進行deposit、withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit、claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。

慢霧:LendHub疑似被攻擊損失近600萬美金,1100枚ETH已轉移到Tornado Cash:金色財經報道,據慢霧區情報,HECO生態跨鏈借貸平臺LendHub疑似被攻擊,主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后,將部分資金跨鏈到Heco鏈展開攻擊后獲利,后使用多個平臺(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨鏈或兌換被盜資金。截至目前,黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析,慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

BKEX入駐慢霧區,發布安全漏洞與威脅情報賞金計劃:據官方消息,為了進一步保障用戶資產安全,提高平臺安全風控等級,BKEX 入駐慢霧區,發布“安全漏洞與威脅情報賞金計劃”,嚴重漏洞最高獎勵10,000USDT.本次漏洞賞金主要針對BKEX網站及APP。[2020/8/12]

分析 | 慢霧預警:ADX合約設計疑似存在“后門”風險:安全公司慢霧發布安全預警稱,ADX合約設計疑似存在“后門”風險。具體細節為:在合約中grantVestedTokens方法寫了轉賬是否可以允許被revoke ,可以在grants這個mapping中或者tokenGrant中查到用戶生成的這個TokenGrant到底允不允許revoke, 如果是允許revoke則要慎重,用戶可以通過revokeTokenGrant撤回,這樣holder就會受到損失,代幣可能會回到原本用戶的余額上或者 轉到0xdead, 這取決于burnsOnRevoke的值。

ADX項目業務設計比較特殊,如果在對接交易所的話,沒有說明對接的方式,以及一些特殊方法的調用和判斷,會造成交易所損失,請交易所注意對接時候相關細節處理。[2019/5/10]

Tags:WARREWARDKENTOKWARZ幣MetaGold RewardsSealBlock TokenTechshare Token

幣贏
BBKX關于上線新ETF交易對的公告_BBK:BKX

親愛的BBKX用戶 為了更好的滿足更多用戶的交易需求,BBKX平臺于12月29日19:36新上線一批新ETF幣對,已支持交易.

1900/1/1 0:00:00
比特大陸聯合創始人之間的法律之戰似乎以詹·麥克里(Micree Zhan)接管公司而結束_BIT:MAI

雙方同意達成協議后,總部位于中國的Bitmain聯合創始人之間的長期法律斗爭似乎在隧道盡頭看到了曙光.

1900/1/1 0:00:00
談喻凱:機構突然砸盤 比特幣以太坊操作建議及中長線布局_比特幣:VER

成功的道路上,肯定會有失敗;對于失敗,我們要正確地看待和對待,不怕失敗者,則必成功;怕失敗者,則一無是處,會更失敗。命運,是一個很飄渺的東西,有人相信命運,走到了塔頂,或者墜落到崖底.

1900/1/1 0:00:00
關于LBank調整LBK最小交易精度公告_ANK:LBank

尊敬的LBank用戶: 為了提高大家的交易體驗,LBank將調整LBK最小交易精度,從四位小數調整至六位小數。給您帶來的不便敬請諒解.

1900/1/1 0:00:00
ETH午后行情實時分析_ETH:tether幣價格

ETH行情分析: 近期行情走勢波動較為偏大。正是我們把握大行情的好時機。此時我們應趁機抓取利潤。現在我們從1小時級別圖可以看到,經過昨天的一次下跌回調后。今天幣價繼續走入穩健的行情.

1900/1/1 0:00:00
交易機器人:對于人類財務分析師來說,這算是一場比賽嗎?_BonFi:FID

人們常說,交易者最大的敵人是他自己。行為上的偏見往往會使理性的交易策略變得不合時宜,因為對損失回避的擔憂,對錯過機會的恐懼甚至過分自信的控制權-最終使投資組合處于危險之中.

1900/1/1 0:00:00
ads