以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

一次由存儲狀態引發的慘案 Cover協議被黑簡要分析_DSP:pwar幣價格

Author:

Time:1900/1/1 0:00:00

By :  Kong@慢霧安全團隊

據慢霧區情報,2020 年 12 月 29 日,Cover 協議價格暴跌。慢霧安全團隊第一時間跟進相關事件并進行分析,以下為分析簡略過程。

1、在 Cover 協議的 Blacksmith 合約中,用戶可以通過 deposit 函數抵押 BPT 代幣;

2、攻擊者在第一次進行 deposit - withdraw 后將通過 updatePool 函數來更新池子,并使用 accRewardsPerToken 來記錄累計獎勵;

Coinbase CEO稱其與SEC主席最后一次會面遭冷漠對待:6月8日消息,Coinbase首席執行官Brian Armstrong表示,他最后一次與美國證券交易委員會主席Gary Gensler會面是在一次“冰冷”的虛擬會議上,此前幾次親自會面的努力都失敗了。

Armstrong稱:”當Gensler首次上任時,我和我的團隊都聯系了他,我試著努力與他面對面交流,因為每當有新的監管者進來時,我就會嘗試這樣做。不幸的是,我們當時無法聯系上時間。我不確定為什么我們不能在他的日程表上出現。在次年進行了幾次額外嘗試后,Gensler與我們安排了一次虛擬會議,這是一個非常冷淡的接待”。Armstrong表示當時他詢問了如何向SEC注冊,包括需要什么流程,但他表示“和你的律師談,我不是來這里給你建議的。”

Armstrong還表示,他不認為Gensler的觀點能代表更廣泛的美國政府,與其交談的80%的國會議員都和Gensler持不同意見。[2023/6/8 21:23:39]

3、之后將通過 _claimCoverRewards 函數來分配獎勵并使用 rewardWriteoff 參數進行記錄;

摩根大通料美聯儲9月最后一次大幅加息:8月22日消息,摩根大通策略師表示,美聯儲在9月可能進行最后一次大幅加息,股市在下半年或有繼續上漲的基礎。以Mislav Matejka為首的策略師稱,預計美聯儲將在9月大幅加息,但在那之后,美聯儲不會再有令市場意外的偏鷹動作。他們預計,經濟增長與貨幣政策之間的平衡將得到改善,并“幫助整個市場繼續復蘇”。他們預計,即使投資者仍然擔心美聯儲可能會保持鷹派立場,對利率敏感的成長股也將繼續跑贏價值股。(金十)[2022/8/22 12:41:42]

4、在攻擊者第一次 withdraw 后還留有一小部分的 BPT 進行抵押;

聲音 | 江卓爾:長期來看7000-8000美元買入是牛市前最后一次上車機會:江卓爾剛發微博稱:“上一輪牛市有一個很有意思的數據,牛市期間每一輪最大跌幅,都精確地落在了40%左右,偏差為35%~45%。本輪跌幅44.3%,已經非常接近上一輪兩次出現的45%跌幅,是否能延續歷史慣性,在45%位置止跌?我覺得有可能,但幣價短期要問上帝,我說了不算。至于長期嘛,7000-8000美元這價位買入,應該是牛市前最后一次上車機會了。”[2019/9/28]

5、此時攻擊者將第二次進行 deposit,并通過 claimRewards 提取獎勵;

6、問題出在 rewardWriteoff 的具體計算,在攻擊者第二次進行 deposit - claimRewards 時取的 Pool 值定義為 memory,此時 memory 中獲取的 Pool 是攻擊者第一次 withdraw 進行 updatePool 時更新的值;

7、由于 memory 中獲取的 Pool 值是舊的,其對應記錄的 accRewardsPerToken 也是舊的會賦值到miner;

8、之后再進行新的一次 updatePool 時,由于攻擊者在第一次進行 withdraw 后池子中的 lpTotal 已經變小,所以最后獲得的 accRewardsPerToken 將變大;

9、此時攻擊者被賦值的 accRewardsPerToken 是舊的是一個較小值,在進行 rewardWriteoff 計算時獲得的值也將偏小,但攻擊者在進行 claimRewards 時用的卻是池子更新后的 accRewardsPerToken 值;

10、因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;

11、所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的 COVER 代幣,導致 COVER 代幣增發。

具體 accRewardsPerToken 參數差值變化如下圖:

Tags:REWARDWARREWARDSDSPBunicorn Universal Rewardpwar幣價格REWARDS幣DSPC幣

POL幣最新價格
藏在EOA地址里的魔法:Qubit Finance 被黑分析_POSI:ETH

2022 年 1 月 28 日,一大早醒來就看見 ps 那邊預警了 Qubit Finance 被黑了。有點慘,這是印象中 pancake bunny 項目不知道第幾次被黑了(這里默哀。。).

1900/1/1 0:00:00
穩定幣挖礦錦囊:如何獲得高收益 哪些項目值得埋伏?_DRAC:穩定幣

在綜合判斷安全性和收益率的情況下,推薦一些不同公鏈上的流動性挖礦機會。加密市場跟隨外部變化的趨勢越來越明顯,在外部環境不穩定的情況下,市場表現不佳,穩定幣理財成為更多人的需求.

1900/1/1 0:00:00
北京全面力推“攜手筑網 同防共治” 打擊“區塊鏈”、“虛擬貨幣”等名義的非法集資_NBS:nbs幣未來價格

新京報訊(記者 黃鑫宇)為進一步加大防范非法集資宣傳教育工作力度,從源頭上有效遏制非法集資活動.

1900/1/1 0:00:00
成都鏈安:“黑色5月” 本月發生典型安全事件超32起_DEFI:區塊鏈域名的用途

2021年5月盤點 據成都鏈安【鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)】安全輿情監控數據顯示:2021年5月,據不完全統計,整個區塊鏈生態發生的典型安全事件超32起.

1900/1/1 0:00:00
法國股市監管機構發布數字資產交易警告_BSP:nbs幣未來價格

根據4月9日發布的一份公告,法國股市權威監管機構 AMF 已就一家提供數字資產交易和外匯市場投資培訓及軟件服務的公司向公眾發出警告.

1900/1/1 0:00:00
YAM的演化_DEF:defi幣聯合坐莊是騙局嗎

在沉寂了一段時間之后,彈性穩定幣開始重新引起大家的關注,其中包括AMPL、ESD和YAM等。YAM一直以來都是爭議很大的彈性穩定幣實踐,它是AMPL的分叉,同時又借鑒了YFI的分配機制,它發展出.

1900/1/1 0:00:00
ads