漏洞原因
近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。
在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。
鏈游League of Kingdoms與BreederDAO建立合作伙伴關系,將共同打造Drago NFT:7月26消息,League of Kingdoms宣布與BreederDAO建立合作伙伴關系,BreederDAO將為League of Kingdoms即將到來的Drago NFT提供支持。
據悉,League of Kingdoms是一款以建立王國和統治世界為中心的大型多人戰略游戲,此前完成300萬美元的種子輪融資,a16z、Sequoia、Hashed等參投。BreederDAO與20多個游戲和300個公會合作,是培育NFT角色和游戲項目的專家。[2022/7/26 2:38:07]
PolkaFoundry旗下IDO平臺Red Kite發布V2版本:PolkaFoundry宣布,旗下IDO平臺Red Kite發布V2更新,其中包括一些調整和新功能:改善UI/UX;簡化賬戶注冊和KYC流程;啟用智能網絡切換模式;優化白名單注冊流程;為白名單入選者提供更多代幣購買機會。[2021/7/7 0:33:42]
如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。
MDIS生態第二個項目全戰三國Total War: Three Kingdoms即將上線:官方消息稱,Total War: Three Kingdoms 全戰三國將在2021年4月5日21:00正式上線并開啟第一輪卡包預售,共計500個,每個卡包價格為7250 MDIS-P約30 HUSD,每個地址限量購買5個,參與預售獲得用戶可以獲得TWTK代幣獎勵。今日還將上線歷練系統,歷練系統支持包括MDIS-P、HUSD、USDT、MDX、XF、SLNV2、GDT、HBTC、HDOT、HT、HETH、HFIL、HLTC、HBCH在內的多個幣種單幣無損質押,用戶可以通過MDIS官網導航鏈接或直接從全戰三國官網進入質押抽獎。
Total War: Three Kingdoms 是MDIS開發的繼聚合交易MiaoO后的第二個生態應用,MDIS致力于在HECO上建設全生態去中心化交易所,打造包括聚合交易、NFT、借貸、預言機、Unicrypt在內的多個基礎性生態應用。[2021/4/5 19:47:13]
如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。
Orion Protocol推出DEX構建工具Orion DEX Kit:12月21日,交易所聚合平臺Orion Protocol官方宣布推出Orion DEX Kit。該產品為DEX構建套件工具,允許DeFi項目構建自己的DEX產品。[2020/12/21 15:59:56]
通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復
那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。
發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。
對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結
Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i
作者:ChenZou;本文來自比推Bitpush.News;星球日報經授權轉載比特幣從4月中旬近65,000美元的高點一路下跌,到目前跌幅已經超過50%.
1900/1/1 0:00:00有讀者留言問了下面這個問題:“道兄,有個地方我沒明白,你分析牛市仍在關鍵在于美聯儲尚未加息,這點我非常認同,只要還在放水,必然會部分流向加密貨幣市場.
1900/1/1 0:00:00收錄于話題#每日期權播報播報數據由Greeks.live數據實驗室和Deribit官網提供。Greeks.live格致數據實驗室正式推出了Data.Greeks.live數據看板,之后的播報都會.
1900/1/1 0:00:00導讀:智能手機、云計算等科技革命的出現,改變了許多行業。在這些革命出現后,首當其沖的當屬科技行業本身。區塊鏈也是如此,隨著區塊鏈技術的應用越來越廣,它將再次改變許多行業.
1900/1/1 0:00:00NFT奧林匹克徽章NFT藝術品——奧林匹克徽章Cosmos集成ICS-721標準以實現跨鏈NFT跟蹤和傳輸:5月24日消息,Cosmos近日宣布已集成新的NFT互操作性標準ICS-721.
1900/1/1 0:00:00作者:一棵楊樹4月22日,Square公布了和投資機構ARK的一份聯合白皮書,提出了和主流認知相反的觀點:比特幣實際上是可再生能源未來的關鍵驅動力,比特幣開采和可再生能源一樣,促進了能源轉型.
1900/1/1 0:00:00