慢霧科技：Cover 協議被黑簡要分析_REWARD

2020年12月29日，據慢霧區情報Cover協議價格暴跌，以下是慢霧安全團隊對整個攻擊流程的簡要分析。

1.在Cover協議的Blacksmith合約中，用戶可以通過deposit函數抵押BPT代幣；2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子，并使用accRewardsPerToken來記錄累計獎勵；3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄；4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押；5.此時攻擊者將第二次進行deposit，并通過claimRewards提取獎勵；6.問題出在rewardWriteoff的具體計算，在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory，此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值；7.由于memory中獲取的Pool值是舊的，其對應記錄的accRewardsPerToken也是舊的會賦值到miner；8.之后再進行新的一次updatePool時，由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小，所以最后獲得的accRewardsPerToken將變大；9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值，在進行rewardWriteoff計算時獲得的值也將偏小，但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值；10.因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣，導致COVER代幣增發。

慢霧科技創始人余弦：安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題，慢霧科技創始人余弦在微博上表示：給加密貨幣行業一個中肯建議：這個行業，自帶金融屬性，無國家安全力量保障，盜幣溯源有很難。安全的預算需要占到全年預算的20%左右，這比例一部分（可能是大部分）是內部安全成本消耗，一部分是給第三方職業安全團隊（如慢霧），一部分是給社區的白帽黑客。另外，做個安全應急準備金，黑天鵝出來后，可以拿來做些彌補及挽救支持的。既然喊了安全第一，既然安全也是區塊鏈三大必備基礎元素之一，那就這樣干，不應該有任何的猶豫和幻想。[2020/4/20]

具體accRewardsPerToken參數差值變化如下圖：

聲音 | 慢霧科技余弦：數字貨幣行業缺乏國家相關的監管背書，有很多的亂象:據《每日經濟新聞》消息，區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析，簡單來說，幣圈的風險主要有兩個。第一個風險是地下黑客，當前的幣圈，無論是基礎設施還是上層建筑都比較脆弱，相對互聯網來說，攻擊者的攻擊成本很低。通過這些攻擊手法，地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管，缺乏國家相關的監管背書，有很多的亂象，比如說各種資金盤、等，這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全，余弦表示，這是一個新的行業，小白投資者應該多學習這個行業的知識，不要只看表面。隨著知識的加深，對很多表面上的包裝、噱頭，自己就會有一些判斷。另外，存儲數字貨幣的手機、電腦，要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣，這是最基本的安全防范。[2019/8/30]

慢霧科技公告慢霧科技：Redis挖礦蠕蟲爆發，中國占比總感染是88%:據慢霧科技公告，近期Redis挖礦蠕蟲爆發，目前中國占比總感染是88%。該蠕蟲通過6379端口直接打crontab，成功后先自行關閉Linux的部分安全策略和其他競爭蠕蟲，并清理痕跡，并在內外網進行傳播。其挖礦算法為CryptoNight，支持此類算法的有門羅幣（XMR），字節幣（BCN）等。[2018/5/21]

Tags：REWARDWARREWARDSRTOBitRewards CoinInu WarsWorld Of Rewardsporto幣最新消息

萊特幣價格