WAR:一次由存儲狀態引發的慘案 Cover協議被黑簡要分析

By :  Kong@慢霧安全團隊

據慢霧區情報，2020 年 12 月 29 日，Cover 協議價格暴跌。慢霧安全團隊第一時間跟進相關事件并進行分析，以下為分析簡略過程。

1、在 Cover 協議的 Blacksmith 合約中，用戶可以通過 deposit 函數抵押 BPT 代幣；

2、攻擊者在第一次進行 deposit - withdraw 后將通過 updatePool 函數來更新池子，并使用 accRewardsPerToken 來記錄累計獎勵；

波卡先行網Kusama社區成員提交動議希望將于10月23日進行下一次拍賣:官方消息，波卡先行網Kusama社區成員提交動議，要求理事會對安排下一次拍賣進行投票。如果通過，將在10月23日區塊高度9777777進行拍賣。該提案旨在為接下來的7個租約安排每周1次拍賣。[2021/10/19 20:38:33]

3、之后將通過 _claimCoverRewards 函數來分配獎勵并使用 rewardWriteoff 參數進行記錄；

分析 | Algorand下一次拍賣中若幣價繼續下跌 會導致套牢盤和投機者尋求補倉機會:據LongHash分析，6月19日，Algorand開啟長達5年的荷蘭輪拍賣中第一次輪拍賣，并在之后兩周內獲得極高關注度。 在接下來的拍賣中，對于投資者，假如幣價繼續下降，拍賣給予的保底價格機制導致無論是套牢盤還是新的投機者，都會尋求低價的補倉機會，也會促進項目持續保持在較高的熱度上。對于項目方，一年期免費的自動市值管理保證項目的價格，荷蘭式拍賣加回購的模式也幫助項目方獲得大量關注。 目前來看這種優質的模式從博弈的角度上幫助投資者和項目方實現大致的納什均衡，且操作上簡單易上手，可以說為區塊鏈項目融資開啟了一條新道路。[2019/7/10]

4、在攻擊者第一次 withdraw 后還留有一小部分的 BPT 進行抵押；

動態 | 比特幣最大非交易所地址一次性轉出逾8萬枚比特幣，交易額超5億美元:據Chaindigg數據顯示，BTC剛剛出現一筆大額交易。KAt6STtisWMMVo5XGdos9P7DBNNsFfjx7地址一次性將85947.127枚BTC轉入另一新地址。按當前價格計算，交易額約5.5億美元。在該筆轉賬發生前，該地址在比特幣富豪榜上排名第六，無任何標記，為富豪榜上最大的非交易所地址。有網友猜測該地址“是高盛，摩根級別的財主地址”，也有媒體認為該地址背后為來自中國的長線投資者。[2018/7/2]

5、此時攻擊者將第二次進行 deposit，并通過 claimRewards 提取獎勵；

6、問題出在 rewardWriteoff 的具體計算，在攻擊者第二次進行 deposit - claimRewards 時取的 Pool 值定義為 memory，此時 memory 中獲取的 Pool 是攻擊者第一次 withdraw 進行 updatePool 時更新的值；

7、由于 memory 中獲取的 Pool 值是舊的，其對應記錄的 accRewardsPerToken 也是舊的會賦值到miner；

8、之后再進行新的一次 updatePool 時，由于攻擊者在第一次進行 withdraw 后池子中的 lpTotal 已經變小，所以最后獲得的 accRewardsPerToken 將變大；

9、此時攻擊者被賦值的 accRewardsPerToken 是舊的是一個較小值，在進行 rewardWriteoff 計算時獲得的值也將偏小，但攻擊者在進行 claimRewards 時用的卻是池子更新后的 accRewardsPerToken 值；

10、因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；

11、所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的 COVER 代幣，導致 COVER 代幣增發。

具體 accRewardsPerToken 參數差值變化如下圖：

Tags：WARREWARDREWARDSERTMWAR幣RewardTaxRewards TokenUnited States Property Coin

MEXC