漏洞原因
近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。
在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。
安全團隊:Alpha Centauri Kid官方Discord服務器遭到釣魚郵件攻擊:9月12日消息,據CertiK數據監測,Alpha Centauri Kid官方Discord服務器收到釣魚郵件攻擊,請不要點擊,鑄造或批準任何交易。[2022/9/12 13:24:24]
如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。
Duelist King完成100萬美元融資 Momentum6等參投:10月27日消息,多鏈NFT卡牌游戲Duelist King宣布完成100萬美元融資,Momentum6、BoostXLabs、Shima Capital、BX Ventures、X21 Digital、AU21、Magnus Capital、NFT Technologies、Benmo、BlockBeat等參投。據悉,Duelist King是首個提倡Win2Earn敘事的游戲,游戲經濟模型圍繞著任務、戰斗和比賽的參與度提供獎勵和收益。(investing)[2021/10/27 21:02:03]
藝術家Krista Kim以288枚ETH出售NFT數字房屋:當代藝術家Krista Kim最近以288枚以太坊的價格出售了一個NFT數字房屋,價值超過50萬美元。(CNBC)[2021/3/18 18:55:02]
如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。
聲音 | Kim Dotcom:預計美國將嚴厲打擊加密行業:Megaupload創始人Kim Dotcom預計美國將嚴厲打擊加密行業,這可能會使加密資產成為非法。目前還沒有跡象表明政府會直接打擊對加密貨幣的使用。但美國國稅局非常清楚比特幣網絡的巨大潛力,并已開始要求提供交易記錄。(Cryptovest)[2019/12/27]
通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復
那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。
發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。
對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結
Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i
Tags:EFIDEFINGDEFIDOGEFIDefina Financehotcoinglobal不能用了DeFiHorse
自從國務院金融穩定發展委員會會議要求“打擊比特幣挖礦和交易行為”后,著實讓礦工慌了手腳,不知該何去何從.
1900/1/1 0:00:00◇Polkadot生態研究院出品,必屬精品◇ 波卡生態觀察,是我們針對Polkadot生態內的項目,以不同生態位的視角來觀察和分析的一個專題欄目.
1900/1/1 0:00:00現在每天你都會聽到Layer2的聲音在你的耳邊環繞,仿佛整個世界都在談論它,由于以太坊L1在當前迭代中每秒處理大約15筆交易,這導致了許多問題:網絡經常變得擁擠,有時將gas費用推到極高的水平.
1900/1/1 0:00:002021年的歐洲杯是如此的與眾不同。11座主辦城市,共同慶祝這一盛事的第60個生日。 24支參賽隊囊括10個歐洲冠軍中的9個,13支曾進入歐洲杯決賽的球隊11支入圍,17支進入過歐洲杯四強的球隊.
1900/1/1 0:00:00撰文:0x13;本文圖片來源:元宇宙探險隊、TheSandbox官方六月一日,兒童節,一個微信群突然變得人聲鼎沸,僅僅過了幾分鐘,未讀消息便成了99+.
1900/1/1 0:00:00在新基建政策支持下,區塊鏈行業迅猛發展,在金融科技、數字政務等領域發展繁榮。行業的野蠻生長,一方面印證了區塊鏈技術的價值,另一方面也暴露出了加密貨幣犯罪、洗錢等問題.
1900/1/1 0:00:00