REWARD:慢雾科技：Cover 协议被黑简要分析_WAR

2020年12月29日，据慢雾区情报Cover协议价格暴跌，以下是慢雾安全团队对整个攻击流程的简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。

慢雾科技启富：去中心化钱包安全核心在于私钥、助记词的存储及加密:11月6日消息，慢雾科技合伙人启富在做客《HyperPay焦点》栏目时提及：去中心化钱包的安全涉及到很多方面，最核心的是对私钥、助记词的存储及加密。用户在选择钱包时尽量选择国际知名、一流的钱包，同时注意看钱包App的代码是否开源、代码是否经过安全审计、团队内是否有CSO或安全负责人，这些都可能影响到钱包不断迭代、升级过程中的安全是否有保障。同时，作为用户一定要从钱包的官网下载App，避免误入钓鱼网站下载到被植入了后门的钱包App。[2020/11/6 11:51:30]

具体accRewardsPerToken参数差值变化如下图：

慢雾科技启富：慢雾将与 HyperPay 团队持续保持密切战略合作:11月6日消息，慢雾科技合伙人启富在做客《HyperPay焦点》栏目时提及：数字货币的安全问题一直是用户最关心的问题。HyperPay 作为一款钱包更是应该重视安全。数字资产钱包关联的私钥意味着数字资产的所有权，私钥的安全性直接决定数字资产的安全性。之前 HyperPay 钱包也全项通过了慢雾科技钱包安全审计，希望 HyperPay 继续保持高效安全，融合更多的功能打造出一款具有革命性和独创性的区块链钱包产品。慢雾希望与 HyperPay 团队持续保持密切战略合作，共同维护区块链生态安全。[2020/11/6 11:51:16]

声音 | 慢雾科技余弦：Blockchain.info等钱包的安全性不值得相信:巨鲸zhoufujian在被黑客盗走价值2.6亿元的加密资产后，慢雾科技创始人余弦表示，有一些钱包的安全性不值得相信，例如IOTA的Trinity钱包、BTC的Electrum钱包、支持BTC/BCH的CoPay钱包、Blockchain.com/.info在线钱包、MyEtherWallet在线钱包等。[2020/2/22]

标签：REWARDWARREWARDSPAYMs Moona RewardsAPWarsREWARDS价格AllPayCoin

火星币热门资讯