BTC/HKD-0.39%
ETH/HKD-0.81%
LTC/HKD+1.54%
DOT/HKD+0.01%
ADA/HKD-0.56%
SOL/HKD-1.67%
XRP/HKD-1.07%
DOGE/US+0.46%漏洞原因
近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。
在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。
SushiSwap將于3月9日啟動DeFi Kitchen虛擬活動和黑客松:2月3日消息,SushiSwap宣布啟動TheDeFi Kitchen:Avirtual DeFi Summit&Hackathon,時間為北京時間3月9日23:00至3月10日03:30。DeFi Kitchen虛擬活動將向所有人開放,黑客松將面向開發者。Sushi Swap已與ETH Dubai合作,將在活動最后發布公告、舉辦技術研討會、設立獎項。[2023/2/3 11:45:18]
Don Kingsborough加入加密平臺Earnity顧問委員會:金色財經報道,加密平臺和市場Earnity今天宣布,金融科技和零售企業家Don Kingsborough已加入該公司的顧問委員會。Kingsborough的金融科技和零售經驗,將支持Earnity的創新、投資,以及與機構合作伙伴合作的擴展。
Kingsborough之前也是世界上最大的零售協會——全國零售聯合會的董事會成員,他還曾在PayPal擔任高級管理職位。(prnewswire)[2022/8/5 12:04:29]
如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。
動態 | Filament為企業提供Blocklet Kit區塊鏈入門套件:據coincryptorama消息,為物聯網(IoT)企業提供區塊鏈解決方案的Filament公司,宣布為企業提供Blocklet Kit區塊鏈入門套件。這是一個端到端的區塊鏈解決方案,旨在幫助移動、可再生能源和其他行業采用像區塊鏈這樣的分布式賬本技術(DLT)。[2018/10/10]
如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。
動態 | Kinit推出IOS版:據btcmanager消息,近日軟件商KiK宣布旗下的消息應用軟件Kinit已推出IOS版本。Kinit是一款消息傳遞軟件,它允許用戶通過使用其服務來賺取數字貨幣。[2018/8/25]
通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復
那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。
發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。
對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結
Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i
Tags:DEFIEFIDEFKINDefiskeletonsWEFIN幣TRD-DeFiLeague of Kingdoms
構建自主數字社會——源自天才的設想以太坊天才創始人V神曾玩笑道:“以太坊是三位一體的。”他所說的三位一體,自然不是我們所熟知的宗教學意義上的三位一體,而是指組成計算機的三個部分——“處理”、“通.
1900/1/1 0:00:00原文標題:《Reddit熱文:以太坊常常面臨哪些抨擊?》撰文:Liberosist翻譯:ETH中文站下文列出了一些對以太坊常見批評,也會提供我個人的看法.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 5月19日,加密貨幣市場經歷了自2020年3月12日“黑色星期四”以來最重大的流動性下跌和價格波動,比特幣日內價格差異區間高達11,506美元.
1900/1/1 0:00:00作者:IDEG;原標題:《IDEG丨MicroStrategy的可轉債策略:起底加密社區的頭號賭徒》納斯達克上市公司MicroStrategy現任CEOMichaelSaylor已經成為加密社區.
1900/1/1 0:00:00北京時間6月9日,薩爾瓦多總統布格磊宣布其撰寫的《比特幣法》已得到薩爾瓦多國會絕大多數議員的認可,這意味著該法案將在90天后生效,比特幣將成為該國的法定貨幣.
1900/1/1 0:00:00跨界動態 音樂、影視</span></span></span></span></span></span></span.
1900/1/1 0:00:00
以太幣交易所
