鏈聞消息,針對DeFi保險項目Cover協議被攻擊一事,慢霧安全團隊對整個攻擊流程進行了簡要分析:1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;2.攻擊者在第一次進行deposit、withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit、claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。
慢霧安全:舊版本的 Clorio Wallet 存在安全漏洞:據慢霧區消息,受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵問題影響,目前社區已有多人反饋錢包私鑰被竊取,慢霧安全團隊經過調查發現:使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0 版本創建的錢包將存在被盜風險。
建議有使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0(2021 年 5 月 28 日)創建錢包的用戶確保將錢包更新到最新版本(Clorio Wallet v1.0.0),并且重新創建新的錢包地址,將資金轉移到新創建的錢包地址上以保證資產安全。
存在漏洞的錢包版本:Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本:o1labs/client-sdk < 1.0.1。[2023/1/9 11:02:03]
GoPlus與慢霧提出合約可限時授權EIP提案,以降低遺留授權導致的被盜風險:10月6日消息,安全機構GoPlus與慢霧提出可限時授權的EIP標準,以降低遺留授權導致的被盜風險。標準中提到,包括TransitSwap事件在內,反復發生的資產盜竊是由于用戶對合約的過度授權造成的,如果合約出錯,所有沒有召回授權的用戶都會受到攻擊。
GoPlus與慢霧提出的解決方案可以為ERC-20Token設置Approv,以在默認時間段內自動撤回授權,或者使用自定義的時間限制來召回授權并及時避免風險,并提交了一份新的EIP,目前正在由以太坊研究部門審查。[2022/10/6 18:41:11]
動態 | 慢霧情報:本次AWS 故障主要受影響區域是日本東京周邊:據慢霧情報,針對剛剛突發的“AWS 故障影響數字貨幣交易所”事件,本次 AWS 故障主要位于區域是日本東京服務,具體可見AWS 全球服務狀態鏈接,點擊“Asia Pacific”(詳見原文鏈接)。
如果是 AWS 云數據庫產品(RDS)故障,數據庫故障如果業務沒處理好,確實有可能出現各種怪異 bug,包括價格異動。這方面的容災機制需要注意。[2019/8/23]
Tags:WARREWARDREWARDSLORMetaRewardsFame Reward PlusMetaGold RewardsLORT幣
人們常說,交易者最大的敵人是他自己。行為上的偏見往往會使理性的交易策略變得不合時宜,因為對損失回避的擔憂,對錯過機會的恐懼甚至過分自信的控制權-最終使投資組合處于危險之中.
1900/1/1 0:00:00尊敬的XT用戶: XT即將上線PC,詳情如下:充提時間:2021年1月4日16:16交易:2021年1月6日16:16豬豬幣是基于ERC20標準合約代碼.
1900/1/1 0:00:00親愛的BBKX用戶 因Ripple被SEC起訴導致當前的XRP具有較高風險,目前存在著諸多不確定因素,平臺已將XRP的ETF交易對每倍杠桿管理費率調整為0.3%.
1900/1/1 0:00:00為豐富直播互動,提升直播訪談價值,Gate.io直播間將定期邀請區塊鏈行業從業者帶來優質的內容知識,共同探討行業發展.
1900/1/1 0:00:00最近,幣圈正在流行這樣一種成功學:「炒幣炒的好,不如羊毛擼的早」、「今年搞定3個空投,比炒一年幣強多了」……擼羊毛,本是小散小戶才熱衷參與的「零成本生意」,但接連幾個史詩級空投下來.
1900/1/1 0:00:00金色財經區塊鏈12月29日訊?充滿坎坷的2020年即將過去,這一年來全球經濟因新冠疫情而受到重創,對于加密貨幣市場而言也是起起伏伏.
1900/1/1 0:00:00