By : Kong@慢霧安全團隊
據慢霧區情報,2020 年 12 月 29 日,Cover 協議價格暴跌。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程。
1、在 Cover 協議的 Blacksmith 合約中,用戶可以通過 deposit 函數抵押 BPT 代幣;
2、攻擊者在第一次進行 deposit - withdraw 后將通過 updatePool 函數來更新池子,并使用 accRewardsPerToken 來記錄累計獎勵;
EIP-7377草案擬允許EOA通過一次性代碼部署將帳戶永久遷移到智能合約:7月27日消息,開發人員lightclient、Sam Wilson和Ansgar Dietrichs聯合提出EIP-7377: Migration Transaction草案,作為一種新的交易類型,允許EOA在其地址進行一次性代碼部署,從而有效地將帳戶永久遷移到智能合約。[2023/7/27 16:01:58]
3、之后將通過 _claimCoverRewards 函數來分配獎勵并使用 rewardWriteoff 參數進行記錄;
Tether聯合創始人:Tether至少應每季度審計一次:金色財經報道,2015年離開Tether的聯合創始人William Quigley表示,Tether是其本身“最大的敵人”,需要接受審計。該公司及其儲備金至少應每季度審計一次,甚至每月審計一次。這不僅僅是阻礙Tether成長的信任問題。Quigley說,最終,政府發行的數字貨幣可能會取代Tether。[2021/3/24 19:11:59]
4、在攻擊者第一次 withdraw 后還留有一小部分的 BPT 進行抵押;
國盛證券:市場還會再給一次調整加倉的機會:國盛證券指出,我們利用LPPL模型擬合了市場自2020年3月以來的走勢,發現上證綜指、滬深300、上證50未來一周左右大概率形成短期小頂部,而創業板與創業板50大概率也會于本周末下周初形成一個短期頂部。就調整的力度而言,市場起碼有一波300點左右的調整。市場大概率不會因本次調整而結束上漲,將會再給投資者一次調整加倉的機會,建議逢調整擇機加倉。(證券時報)[2020/7/12]
5、此時攻擊者將第二次進行 deposit,并通過 claimRewards 提取獎勵;
6、問題出在 rewardWriteoff 的具體計算,在攻擊者第二次進行 deposit - claimRewards 時取的 Pool 值定義為 memory,此時 memory 中獲取的 Pool 是攻擊者第一次 withdraw 進行 updatePool 時更新的值;
7、由于 memory 中獲取的 Pool 值是舊的,其對應記錄的 accRewardsPerToken 也是舊的會賦值到miner;
8、之后再進行新的一次 updatePool 時,由于攻擊者在第一次進行 withdraw 后池子中的 lpTotal 已經變小,所以最后獲得的 accRewardsPerToken 將變大;
9、此時攻擊者被賦值的 accRewardsPerToken 是舊的是一個較小值,在進行 rewardWriteoff 計算時獲得的值也將偏小,但攻擊者在進行 claimRewards 時用的卻是池子更新后的 accRewardsPerToken 值;
10、因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;
11、所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的 COVER 代幣,導致 COVER 代幣增發。
具體 accRewardsPerToken 參數差值變化如下圖:
Tags:REWARDWARREWARDSETHERWorld Of RewardsFame Reward PlusMs Moona RewardsEtherael指什么寓意
對信仰者來說,開放的公共區塊鏈為構建數字經濟提供了第二次機會。構建在這些區塊鏈之上的應用相互協作,且它們存儲的信息對所有人都是可見的,這一事實讓人回想起互聯網早期架構師們的理想主義,那時大多數用.
1900/1/1 0:00:00DAO挑戰介紹 去中心化自治組織(DAO)自2016年以來一直存在,但在2021年變得非常流行,出現了更多有名的用例,用于數字社區、加密項目、代幣國庫和非同質代幣(NFT)創造者經濟.
1900/1/1 0:00:00隨后Oikos社群內一名疑似負責人回應稱是談判破裂,孫宇晨要求該團隊以 0.025 美元價格賣給用戶一千萬枚代幣.
1900/1/1 0:00:00北京時間2022年3月9日21:50,CertiK安全專家團隊檢測到Fantasm Finance抵押池被惡意利用.
1900/1/1 0:00:00在華盛頓、華爾街和硅谷,搞清楚美國證券交易委員會 (SEC) 主席 Gary Gensler 對加密貨幣的立場已經成了一場猜謎游戲。加密行業游說者收看他在國會的作證。律師們分析他的演講.
1900/1/1 0:00:00致力于挖掘Heco公鏈潛力項目,促進Heco生態繁榮。共同抵制無審計、合約代碼無開源的、虛假宣傳項目,維護良好Heco生態環境。對于故意宣傳抹黑友商項目、Heco品牌的讀者還請多擔待.
1900/1/1 0:00:00