買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > MATIC > Info

REWARD:慢霧:Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值_REWARDS

Author:

Time:1900/1/1 0:00:00

2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;

慢霧:Platypus再次遭遇攻擊,套利者獲取約5萬美元收益:7月12日消息,SlowMist發推稱,穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異,導致用戶可以通過存入USDC然后提取更多USDT來套利,套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;

慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;

慢霧:Ribbon Finance遭遇DNS攻擊,某用戶損失16.5 WBTC:6月24日消息,Ribbon Finance 發推表示遭遇 DNS 攻擊,慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現,Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC,具體交易為:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;

6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;

7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;

8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。

Tags:REWARDWARREWARDSCREREWARD幣hardwaretokenREWARDS價格CREDIT

MATIC
SYN:NFT藏家 WhaleShark:NFT是數字資產所有和管理權的必然進化結果_btceasypay

NFT藏家WhaleShark發表推特:“大家總是問我NFT的投資理論以及我為何堅信NFT肯定會在體量上發展得越來越大。我的答案是,加密貨幣是更好的貨幣,DeFi是更好的金融服務.

1900/1/1 0:00:00
CRY:Jump Capital負責人:預計2021年機構投資者將產生FOMO情緒_CRYPT

12月31日消息,JumpTading旗下風投公司JumpCapital的負責人PeterJohnson發文對2021年加密市場發展作出了十大預測.

1900/1/1 0:00:00
聯盟鏈:BSN將于4月30日進行下一次季度版本迭代更新_哪個是區塊鏈最核心的內容

2月28日消息,區塊鏈服務網絡發文章稱,將于4月30日進行下一次季度版本迭代更新,更新預告如下: 國內門戶: 1.BSN中國官網迭代優化,提升用戶體驗;2.發布BSNIDE.

1900/1/1 0:00:00
SBER:外媒:芯片短缺已嚴重影響比特幣挖礦硬件分銷鏈_比特幣

芯片短缺已經嚴重影響了比特幣挖礦硬件分銷鏈。根據比特大陸網站上的信息,到2021年8月,作為主要比特幣礦商之一比特大陸的庫存已售罄。除了庫存不足之外,比特大陸的礦機價格現在溢價也很高.

1900/1/1 0:00:00
BAS:Basis Cash宣布重新調整V2通脹激勵措施_OIN

2月20日,算法穩定幣項目BasisCash官方發文宣布重新調整通脹激勵措施。官方表示當前代幣排放計劃過于簡單,現建議V2協議將目前按75/25分配的BAS代幣排放計劃重新進行調整.

1900/1/1 0:00:00
ION:交易所聚合平臺Orion Protocol與Nord Finance進行集成_Orion Protocol

2月22日消息,NordFinance加入OrionProtocol網絡,成為Orion企業合作伙伴.

1900/1/1 0:00:00
ads