以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > ADA > Info

KingDefi收益計算邏輯漏洞分析_EFI:fdudefi

Author:

Time:1900/1/1 0:00:00

漏洞原因

近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。

在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。

SushiSwap將于3月9日啟動DeFi Kitchen虛擬活動和黑客松:2月3日消息,SushiSwap宣布啟動TheDeFi Kitchen:Avirtual DeFi Summit&Hackathon,時間為北京時間3月9日23:00至3月10日03:30。DeFi Kitchen虛擬活動將向所有人開放,黑客松將面向開發者。Sushi Swap已與ETH Dubai合作,將在活動最后發布公告、舉辦技術研討會、設立獎項。[2023/2/3 11:45:18]

以太坊合并公共測試網 Kiln 已上線,預計將于本周全面過渡到 PoS:3月15日消息,以太坊基金會官方博客發文,宣布以太坊合并公共測試網 Kiln 已上線,預計將于本周(預計3 月 17 日之后)全面過渡到 PoS,旨在將客戶端實施階段轉至生產準備階段。此前的合并測試網 Kintsugi 將在未來幾周內被棄用。[2022/3/15 13:57:09]

如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。

巴西資產管理公司 Kinea 對以太坊進行探索性投資:金色財經報道,巴西最大的資產管理公司之一 Kinea 透露,它對以太坊進行了探索性投資。Kinea 的基金經理 Marco Aurélio Freire表示,該公司從兩個月前開始將其持有的少量股份投資于以太坊。Banco Itau 的投資部門 Kinea 管理的資產超過 560 億雷亞爾(約合 10.2 美元)。Freire表示,相信加密貨幣是分散投資組合的必要資產,我認為加密貨幣是一種值得一試的長期趨勢。雖然比特幣是去中心化金融世界的啟動器,但其他貨幣也有許多有趣的東西可以提供,從而證明了這一選擇是合理的。人們通常將加密貨幣與比特幣混淆,但加密貨幣市場不僅僅是比特幣。(news.bitcoin)[2021/10/20 20:42:00]

Sunny King重返江湖 宣布全新項目VEE:數字貨幣圈神秘人物、天才程序員Sunny King日前宣布由其擔任總設計師的全新項目 VEE正在研發,官網稱其為“第五代比特幣”據業內人士稱,團隊目前正在韓國、日本、新加坡、香港、瑞士、倫敦舉辦技術 路演。作為兩個數字貨幣點點幣(PeerCoin)和質數幣(PrimeCoin)的創始人,Sunny King 表示,他仍在持續關注其動態。[2018/1/25]

如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。

通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復

那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。

發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。

對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結

Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i

Tags:DEFDEFIEFIKINPlutusDeFifdudefiPeakDeFiDeFi Kingdom

ADA
Kusama平行鏈拍賣,下個月會成為波卡的爆發期嗎?_SAM:KUS

6月8日,波卡創始人GavinWood對外釋放了較為確定的Kusama卡槽拍賣時間表。需要注意的是這個時間表是按照GavinWood向理事會建議的節奏下,并且Kusama中繼鏈沒有重大問題和意外.

1900/1/1 0:00:00
FBI查封DarkSide勒索款,比特幣私鑰被攻破?_DAR:coinex交易所中文名

美國司法部宣布已追回此前ColonialPipeline支付給勒索軟件DarkSide的部分加密貨幣贖金.

1900/1/1 0:00:00
Deribit期權市場播報0603—— 大宗強勁_SKE:SUI

播報數據由Greeks.live和Skew.com提供。昨日比特幣大宗交易占比30%,今天大宗交易占比25%,以太坊也有14%的成交是看漲期權大宗交易,連續兩天如此高的大宗占比是不同尋常的.

1900/1/1 0:00:00
Glassnode鏈上周報:鏈上指標急劇下跌,市場走向仍不明朗_BTC:ubtc幣暫停提幣

本文源自Glassnode鏈上周報"TheWeekOn-chain(Week23,2021)",由幣世界研究院翻譯、整理.

1900/1/1 0:00:00
合成資產在DeFi世界中的重要性_EFI:DEFI

合成資產協議,使得DeFi資產利用率提升,擴展資產種類,提供流動性,降低市場準入門檻,擴展用戶參與度.

1900/1/1 0:00:00
【Deribit期權市場播報】0622——重錘_JASMY:ASM

收錄于話題#每日期權播報 播報數據由Greeks.live格致數據實驗室和Deribit官網提供。市場迎來了一記重錘,首先是消息面的大利空,不必多說.

1900/1/1 0:00:00
ads