以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 波場 > Info

ING:KingDefi收益計算邏輯漏洞分析

Author:

Time:1900/1/1 0:00:00

漏洞原因

近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。

在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。

DeFi Kingdoms將在Klaytn上推出游戲部分Serendale:金色財經報道,DeFi Kingdoms將在以元宇宙為重點的區塊鏈Klaytn上推出名為Serendale的游戲部分。此舉是在Harmony區塊鏈網絡成為黑客攻擊目標后不到兩個月的時間。

DeFi Kingdoms的一位發言人證實,這意味著它將完全離開Harmony。新合作伙伴Klaytn是韓國互聯網巨頭Kakao Corp的產品,自2019年以來一直存在。今年早些時候,它轉變成以元宇宙、游戲和以創作者為中心的連鎖店。?[2022/8/23 12:43:08]

鏈游 DeFi Kingdoms 宣布推出其子網絡 DeFi Kingdoms 鏈:3月9日消息,鏈游 DeFi Kingdoms 宣布推出與 Ava Labs 聯合研發的子網絡 DeFi Kingdoms 區塊鏈(DFK Chain)。同時,官方表明JEWEL將被賦予權力,除作為Serendale Governance代幣外,還被用于支付DFK Chain的網絡gas費。

此外,DeFi Kingdoms 與 Avalanche 基金會合作,將通過新一輪1500萬美元的 Avalanche Multiverse 激勵措施,促進 Crystalvale 在 DFK 鏈上啟動的早期階段。[2022/3/9 13:46:12]

如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。

肯尼亞大亨Chris Kirubi否認投資加密交易平臺Bitcoin Profit:3月10日消息,加密交易平臺Bitcoin Profit稱,肯尼亞大亨Chris Kirubi是他們的投資者之一,Chris Kirubi否認并敦促投資和在進行任何投資時都要格外謹慎,因為加密貨幣交易平臺Bitcoin Profit非法使用他的名字作為背書。

“我想告訴公眾,我與這個組織沒有任何關系,其所提供的信息具有誤導性和欺騙性。”Kirubi發推稱,“雖然我經常分享投資建議和商業建議,但這些信息是通過我經過認證的社交媒體賬號和可信網站分享的。”(Capitalfm)[2020/3/10]

動態 | Kingdom Trust再請求美國南達科他州聯邦法官對比特幣IRA進行制裁:據Bitcoinist 1月9日消息,加密貨幣托管機構Kingdom Trust最近求助于美國南達科他州聯邦法官,要求法官對比特幣IRA進行制裁,而在此之前,Kingdom Trust已在在幾個不同司法管轄區提出相同的法院訴訟。此前消息,Kingdom Trust和比特幣IRA的訴訟最早起于2019年8月,當時Kingdom Trust以“Bitcoin IRA和加密貨幣托管商BitGo合謀獲取其商業機密”為由對Bitcoin IRA發起訴訟。而后11月,美國南達科他州地方法院要求Kingdom Trust全面恢復比特幣IRA客戶數據訪問。[2020/1/9]

如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。

通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復

那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。

發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。

對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結

Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i

Tags:KININGKINGDEFMonkey KingDINGObiking合約吃客損WDEFI價格

波場
DFI:DFINANCE是什么?| 不一樣的「DFINITY」詞貼

DFINANCE是DFINITY的開放式金融服務基礎設施。DFINANCE自身定位是成為DFINITY生態中的DeFi基礎設施層,圍繞多場景應用和借貸協議構建基礎組件,作為DFINITY生態中的.

1900/1/1 0:00:00
比特幣:加息預期提前,市場有崩盤風險?

Part1本周深度主題 No.1Bye,Seeyou.中國全面禁止挖礦已成定局。6月19日,四川關閉所有礦場,一段小視頻在行業內廣為流傳,視頻中一排排綠光,隨著開關的「咔嗒」一聲,逐個變暗.

1900/1/1 0:00:00
PEN:NFT 藝術品——CROSSROAD | 不一樣的「NFT」 -- N詞貼

CROSSROAD——BeepleNFT藝術品——CROSSROADMAYC系列NFT近24小時交易額增幅為99% 位列OpenSea交易額榜首:金色財經報道,OpenSea數據顯示.

1900/1/1 0:00:00
LAYER:以太坊的 EIP-1559 上線會對我們造成什么影響?

本文轉自去中心化金融社區,星球日報經授權轉載以太坊即將發生巨大的變化,我們會有Eth2.0、EIP-1559,并且會在主要的以太坊協議中越來越多地采用layer2擴展解決方案.

1900/1/1 0:00:00
HAC:人物志:加密藝術家Hackatao | 不一樣的「NFT」 -- N詞貼

Hackatao部分作品來源丨CryptoArt.ioN詞貼|加密藝術家Hackatao谷歌量子計算關鍵人物 John Martinis 辭職:谷歌量子人工智能實驗室關鍵人物 John Mart.

1900/1/1 0:00:00
EFI:引入信用體系的ARCx,會再造DeFi借貸市場嗎?

DeFi誕生的愿景,就是為全世界的用戶提供便捷的鏈上金融服務。但區塊鏈技術匿名性的特征,決定了DeFi生態中的所有用戶,都是以一串字符的身份存在,項目開發者和服務商無法對應上這些字符背后的真實主.

1900/1/1 0:00:00
ads