比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Filecoin > Info

WAR:慢霧科技:Cover 協議被黑簡要分析

Author:

Time:1900/1/1 0:00:00

2020年12月29日,據慢霧區情報Cover協議價格暴跌,以下是慢霧安全團隊對整個攻擊流程的簡要分析。

1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。

BitZ平臺在慢霧科技的安全審計中評級為優:據官方消息,區塊鏈安全公司-慢霧科技通過十大維度對BitZ平臺進行安全審計,BitZ平臺憑借優異的表現在本次安全審計中評級為:優。本次安全審計核心目標是為BitZ平臺檢測潛在的威脅點,協助 BitZ平臺提升安全維度。協力BitZ團隊一起為客戶的資金安全做出有效的推進,更好的保護廣大BitZ用戶的安全。

BitZ平臺創立于2016年,是聯合區塊鏈資深從業者和專業量化團隊交易團隊創立的一家專注于區塊鏈數字資產交易和交流的平臺。BitZ采用全球頂尖的安全技術,持續不斷的為用戶提供安全、快速、智能的區塊鏈資產流通服務。[2020/8/6]

具體accRewardsPerToken參數差值變化如下圖:

聲音 | 慢霧科技余弦:攻擊者通過同樣的手機號搞定目標用戶在 Coinbase 上的權限:慢霧科技創始人余弦針對最近數字貨幣交易平臺的 SIM 卡轉移攻擊發文稱,前些天有人的 Coinbase 賬號遭遇了 SIM Port Attack(SIM 卡轉移攻擊),損失了超過 10 萬美金的數字貨幣,很慘痛。攻擊過程大概是:攻擊者通過社會工程學等手法拿到目標用戶的隱私,并到運營商欺騙得到一張新的 SIM 卡,然后通過同樣的手機號輕松搞定目標用戶在 Coinbase 上的權限。SIM 都被轉移了,這就很麻煩了,基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證,這是一個非常中心化的認證方式,手機號成為攻擊的弱點。這個攻擊以前在國內也有不少案例,運營商的風控策略也越來越強大,但策略這東西總是有繞過方式,這種方式主要就是社會工程學,當然也不排除其他方式的結合。不是我不信任運營商或中心化服務,而是這種重要的資產,大家要更加謹慎了,大額的數字貨幣是不是應該有更安全的存放方式?相關平臺的安全風控策略是不是也該多琢磨如何再提升提升?[2019/5/27]

聲音 | 慢霧科技余弦:數字貨幣暴跌是資產重新分配的好時候:今日慢霧科技聯合創始人余弦對數字貨幣暴跌發表看法:數字貨幣暴跌也確實是個好事,一來可以洗掉一批不干實事的人;二來又是一次資產重新分配的好時候。[2018/11/24]

Tags:WARREWARDREWARDSBITWARC價格MetaRewardsBitcoin Vision

Filecoin
NFT:一文讀懂 NFT 的發展史

本文于2019年7月10日發布于Medium,原文標題:TheHistoryofNon-FungibleTokens(NFTs),作者AndrewSteinwold.

1900/1/1 0:00:00
區塊鏈:紐約時報:區塊鏈是回歸互聯網本來意義的唯一希望

來源《紐約時報》2018年1月16日刊,中文首發《機器之能》,編譯:張震、Edison、Rik這組詞序并沒有任何意義,真正讓它們有價值的地方在于.

1900/1/1 0:00:00
DEFI:三分鐘了解 DeFi Pooling:為現有 L1 項目提供可擴展性

本文發布于以太坊愛好者,撰文:LouisGuthmann,翻譯:阿劍。 摘要 DeFi的首要價值是金融普及和開放準入。但隨著GasPrice的高漲,DeFi日益變成了巨鯨的游戲.

1900/1/1 0:00:00
DEF:DeFi 挖礦的高收益探究及可持續性分析

本文由DeFi協議RibbonFinance的創始人JulianKoh撰文并發布在其medium上,編譯:PerryWang去中心化金融DeFi主要的敘述之一是,鑒于DeFi的高收益.

1900/1/1 0:00:00
區塊鏈:獨家專訪分布式資本沈波:我對區塊鏈的理解與投資原則

本文于2018年5月16日首發于鏈捕手公眾號,作者李曌。 一、區塊鏈與分布式商業 鏈捕手:在您看來區塊鏈是什么??沈波:目前大家對區塊鏈的理解各有不同,我更認可區塊鏈是一個大規模的協作工具這個觀.

1900/1/1 0:00:00
LLE:索羅斯“親密戰友”罕見發聲:這是四十年最狂野的市場!

文章來自華爾街見聞,作者葉楨“這是我見過的最狂野的市場!”近日,有“華爾街天才”之稱的StanleyDruckenmiller.

1900/1/1 0:00:00
ads