買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 屎幣 > Info

WAR:慢霧科技:Cover 協議被黑簡要分析_REWARD

Author:

Time:1900/1/1 0:00:00

2020年12月29日,據慢霧區情報Cover協議價格暴跌,以下是慢霧安全團隊對整個攻擊流程的簡要分析。

1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。

知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選:1月6日,據霍比特HBTC官方消息,知名區塊鏈安全公司派盾、慢霧科技宣布參加HBTC Chain主網節點競選,投票均已超過50萬HBC,其中派盾節點名稱PeckShield;慢霧科技節點名稱SlowMist Zone。

截止至今日18:00,HBTC Chain主網節點投票競選上線10天,成功競選主網節點數量達16個,HBC總投票數量為6457124.38,HBC總投票質押率30.75%,質押價值已近2500萬USDT。

HBTC Chain基于DPoS共識算法,精選優質節點作為HBTC Chain主網區塊驗證者。HBTC Chain將對競選節點進行篩選及管理,意欲參選的項目方及個人可通過HBTC Chain節點競選投票頁面進行申請操作。更多詳情請點擊原文鏈接。[2021/1/6 16:34:50]

具體accRewardsPerToken參數差值變化如下圖:

聲音 | 慢霧科技余弦:2019年加密貨幣世界被黑資產價值達44億美金:安全公司慢霧科技聯合創始人余弦在微博上稱,我們的一個有趣統計:加密貨幣世界,已披露的,2019 年之前被黑的資產價值有41億美金,而 2019 年一年就有44億美金,增加了一倍多。如果從被黑項目方個數來看,也是增加了一倍多。2019 對于地下黑客來說是個多瘋狂的一年。[2020/1/7]

聲音 | 慢霧科技余弦:攻擊者通過同樣的手機號搞定目標用戶在 Coinbase 上的權限:慢霧科技創始人余弦針對最近數字貨幣交易平臺的 SIM 卡轉移攻擊發文稱,前些天有人的 Coinbase 賬號遭遇了 SIM Port Attack(SIM 卡轉移攻擊),損失了超過 10 萬美金的數字貨幣,很慘痛。攻擊過程大概是:攻擊者通過社會工程學等手法拿到目標用戶的隱私,并到運營商欺騙得到一張新的 SIM 卡,然后通過同樣的手機號輕松搞定目標用戶在 Coinbase 上的權限。SIM 都被轉移了,這就很麻煩了,基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證,這是一個非常中心化的認證方式,手機號成為攻擊的弱點。這個攻擊以前在國內也有不少案例,運營商的風控策略也越來越強大,但策略這東西總是有繞過方式,這種方式主要就是社會工程學,當然也不排除其他方式的結合。不是我不信任運營商或中心化服務,而是這種重要的資產,大家要更加謹慎了,大額的數字貨幣是不是應該有更安全的存放方式?相關平臺的安全風控策略是不是也該多琢磨如何再提升提升?[2019/5/27]

Tags:WARREWARDREWARDSHBTWario CoinRewards BunnyXActRewardsnhbtc幣為什么歸零了

屎幣
加密貨幣:阿里巴巴前董事Jackie Reses加入NYDIG董事會_RES

鏈捕手消息,據PRNewswire報道,比特幣解決方案提供商NYDIG于今日宣布任命JackieReses為其董事會成員.

1900/1/1 0:00:00
FRA:簡析算法穩定幣Frax設計機制與風險_FRAX

本文來自于DeFiMaster。一月下旬,第四代算法穩定幣Frax經歷了上線以來第一次死亡螺旋,最終Frax不負眾望,“渡劫”成功,幣價依然死死的咬住了一美元,成為了當之無愧的最穩定算法穩定幣.

1900/1/1 0:00:00
DEF:深度 | 免費的午餐會持續嗎——流動性挖礦給DeFi生態帶來了什么?_com2刷L幣

本文于2020年7月28日,作者為董心書,鄭鉑瀚,Momir,肖銳忽如一夜春風來,千人萬腔論DeFi.

1900/1/1 0:00:00
區塊鏈:鄒傳偉:從八個關鍵視角與邏輯重新理解 DeFi_goldhoefinance

撰文:鄒傳偉,萬向區塊鏈首席經濟學家最近對?DeFi?有很多討論,DeFi可以從多個視角理解。本文提出從?8個關鍵視角?理解DeFi:1.金融功能;2.離散時間金融;3.去信任化環境;4.預言機.

1900/1/1 0:00:00
加密貨幣:從2020線上智博會看重慶區塊鏈產業的布局與勢能_加密貨幣為什么有價值

近日,2020線上中國國際智能產業博覽會區塊鏈高峰論壇順利舉行,重慶市人大常委會主任張軒出席本次峰會并致辭,中國工程院院士陳純、中國科學院外籍院士丘成桐等發布主題視訊演講.

1900/1/1 0:00:00
INT:Pantera 合伙人:讀懂加密貨幣做市商 Wintermute_Minter HUB

本來自PanteraCapital,作者為該機構合伙人PaulVeradittakit,由鏈聞翻譯.

1900/1/1 0:00:00
ads