漏洞原因
近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。
在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。
Beosin成為BNB Chain Kickstart Program官方安全審計服務商:據官方消息,近日,區塊鏈安全公司Beosin宣布正式成為BNB ChainKickstart Program官方安全審計服務商。據了解,BNB Chain啟動的“Kickstart Program”計劃,旨在幫助區塊鏈開發人員在業內機構的支持下開始他們的項目。[2023/2/16 12:10:16]
Coinbase錢包正式集成DeFi鏈游DeFi Kingdoms:3月31日消息,Coinbase錢包正式集成DeFi鏈游DeFi Kingdoms,包括基于Avalanche子網DFKChain的Crystalvale,以及基于Harmony網絡的Serendale。[2022/3/31 14:28:41]
如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。
Monkey Kingdom遭攻擊損失約130萬美元SOL:12月23日消息,NFT項目Monkey Kingdom表示,黑客通過Discord的安全漏洞竊取了社區的130萬美元的SOL。開發人員表示,黑客首先攻擊Solana上驗證用戶的解決方案Grape,利用該漏洞接管了一個管理帳戶,該帳戶在Monkey Kingdom Discord的公告頻道中發布了網絡釣魚鏈接。 (Cointelegraph)[2021/12/23 7:57:52]
如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。
動態 | 繼關閉 App 并裁減團隊后 聊天軟件 Kik 首席執行官暗示或將離職:總部位于加拿大的聊天軟件 Kik 創始人兼首席執行官 Ted Livingston 向 Coindesk 透露或將離開該公司的信息,理由是擔心該公司區塊鏈項目與美國監管機構之間的分歧。Ted Livingston 疑似在酒后給 Coindesk 記者留言稱,“我一直在喝酒,但這不是酒后失言”,并表示將在早上就交接問題進行更多討論,“但我辭職了,我有自己的選擇,我不會為此而坐牢”,但隨后 Ted Livingston 刪除所有留言的信息。據了解,Kik 創立于 2009 年,騰訊和 USV 也曾投資過 Kik,Kik 在 2017 年進行過首次代幣發行,其原生代幣 KIN 融資金額達到 9800 萬美元。Kik 一直在與美國證券交易委員會(SEC)進行持久的訴訟,聲稱與 SEC 的官司已使該公司付出超過 500 萬加元的費用。此前消息,Kik 公司正在考慮關閉 App,該公司正在將所有用戶轉移到其他平臺上,并且 Kik 在以色列的區塊鏈子公司 Kin 的 70 名員工也在本周一收到了裁員通知。Ted Livingston 宣布,Kik 計劃縮減為 19 個核心開發人員,以繼續開發 Kik 的原生代幣 KIN。[2019/9/24]
通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復
那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。
發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。
對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結
Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i
Tags:INGDEFKINDEFIVIKING價格SquidGameDeFiKing ShibaDefi Shopping Stake
Odaily星球日報譯者|Moni 6月17日凌晨,鮑威爾出現在為期兩天的聯邦公開市場委員會(FOMC)會議結束后的新聞發布會上.
1900/1/1 0:00:00最近,比特幣又走弱了。各種“區塊鏈騙局”的聲音不絕于耳。很多人可能開始思考一個問題——比特幣到底怎么了?它能夠和主流金融能和諧共處嗎?首先,從歷史的角度來看看比特幣能否融入主流金融.
1900/1/1 0:00:00分析師:Carol;編輯:Tong根據劍橋大學新興金融研究中心計算的電力消費指數,截至6月21日,比特幣挖礦的全年預估能耗值約為91.04TW/h,已高于芬蘭和比利時全國的預估能耗規模.
1900/1/1 0:00:00公鏈是萬億級美元的賽道。新的公鏈都會宣稱自己是下一代的新技術。但最終決定公鏈能否走得長遠的是綜合因素。一是創始團隊的氣質.
1900/1/1 0:00:00作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 2020年興盛的DeFi,為加密市場注入了生機,也讓更多圈外人看到區塊鏈在金融領域變革的力量.
1900/1/1 0:00:00密碼學貨幣圈子內外,越來越多人寄希望于權益證明既能為我們貢獻密碼學貨幣的優點、又能避免工作量證明的耗能屬性.
1900/1/1 0:00:00