比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

DEFI:KingDefi收益計算邏輯漏洞分析_Unvest

Author:

Time:1900/1/1 0:00:00

漏洞原因

近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。

在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。

鏈游Crypto Kitties在韓國被視為“非法和有害網站”:6月21日消息,據CoinDesk Korea報道,區塊鏈游Crypto Kitties在韓國已被視為“非法和有害網站”而被禁止訪問。這是因為Crypto Kitties在韓國未被歸類為游戲產品。韓國游戲委員會負責人表示:“去年在三星集團的錢包中可以連接到Crypto Kitties網站,因為Crypto Kitties是未完成歸類的游戲,所以通過市政公告要求三星錢包刪除該網站,三星錢包也對該網站也采取了切斷措施。”

目前,韓國移動運營商LGU+目前仍可以鏈接到該網絡,游戲委員會負責人解釋稱:“已經向網絡運營商LGU+提出了要求,斷網可能需要一定時間。”[2022/6/21 4:42:24]

藝術家Krista Kim以288枚ETH出售NFT數字房屋:當代藝術家Krista Kim最近以288枚以太坊的價格出售了一個NFT數字房屋,價值超過50萬美元。(CNBC)[2021/3/18 18:55:02]

如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。

聲音 | Kim Dotcom:預計美國將嚴厲打擊加密行業:Megaupload創始人Kim Dotcom預計美國將嚴厲打擊加密行業,這可能會使加密資產成為非法。目前還沒有跡象表明政府會直接打擊對加密貨幣的使用。但美國國稅局非常清楚比特幣網絡的巨大潛力,并已開始要求提供交易記錄。(Cryptovest)[2019/12/27]

如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。

現場 | Ether Lab CEO Kim Kyung Soo:非正規渠道的加密貨幣交易是一大問題:金色財經現場報道,12月16日,由ChainUP主辦,節點資本等聯合主辦的“Future BlockChain”全球行活動在韓國舉辦。Ether Lab CEO Kim Kyung Soo在演講中表示,現在韓國的所有加密貨幣交易所中只有頭部的幾家交易所可以通過正常途徑用法幣交易,其他所有的加密貨幣交易所都是通過非正規的賬號渠道在進行法幣交易,這是一個非常大的問題。他說,盡管有韓國國會議員提出讓政府出臺加密貨幣相關的指南,但是從政府態度來看,明年出臺相關政策可能性也不大。[2018/12/16]

通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復

那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。

發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。

對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結

Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i

Tags:DEFIEFIDEFVESTPINETWORKDEFI價格WEFIN價格definer幣幣幣情Unvest

幣贏交易所
NEAR:賬戶地址是什么?| 不一樣的「DFINITY」詞貼_Curve

DFINITY互聯網計算機由于底層的區塊鏈技術,其賬戶系統算法與比特幣等公鏈項目類似。DFINITY賬戶的驗證機制也是從中種子派生公私鑰對,并通過公鑰處理編碼為字符串地址,通過私鑰簽名發送消息,

1900/1/1 0:00:00
區塊鏈:星球日報 | MicroStrategy再發4億美元的優先票據購買比特幣;特朗普稱比特幣是一個騙局(6月8日)_Ares Protocol

頭條 MicroStrategy宣布發行4億美元的優先票據以購買比特幣MicroStrategy宣布將按照《證券法》的規定,且在市場和其他因素允許的條件下.

1900/1/1 0:00:00
區塊鏈:下一波技術浪潮下,科技公司該當如何_SHIRD價格

導讀:智能手機、云計算等科技革命的出現,改變了許多行業。在這些革命出現后,首當其沖的當屬科技行業本身。區塊鏈也是如此,隨著區塊鏈技術的應用越來越廣,它將再次改變許多行業.

1900/1/1 0:00:00
BTC:BTC持續受壓日內先看反彈,ETH多頭預發力_比特幣行情圖

隨著政策不斷的打壓虛擬貨幣,市場出現較大的動蕩,比特幣以及以太坊一路下滑,上方持有者也是有恐慌情緒,都開始紛紛拋售,比特幣一度重60000上方回到了30000附近,資產基本上大幅度縮水.

1900/1/1 0:00:00
比特幣:比特幣礦業大變局:能源與算力格局的雙重更迭_rivetchain

在經歷持續數月的牛市狂歡后,比特幣礦業在近期突然陷入輿論漩渦與監管潮中,同時也給加密市場帶來更多的不確定性因素.

1900/1/1 0:00:00
BTC:BTC存款收益率對比,如何獲得更高收益?_SAFEBTC

在比特幣過去十多年的發展歷程中,雖然價格總體向上,但過程曲折,牛熊交替中,很多早期參與者被清洗出局.

1900/1/1 0:00:00
ads