月亮链 月亮链
Ctrl+D收藏月亮链

KING:KingDefi收益计算逻辑漏洞分析_ING

作者:

时间:1900/1/1 0:00:00

漏洞原因

近日,据业内人士提供的有关信息,名为KingDefi的项目合约存在漏洞,并提示其他用户谨慎操作,提取资金并取消授权。知道创宇区块链安全实验室调研发现,KingDeFi是一个DeFi项目,主要功能包含对BSC、Solana链上DeFi的收益聚合分析、用户DeFi收益追踪以及项目原生代币的抵押挖矿。

在查看BSC链上的KrownMaster合约源码后发现,该合约确实存在逻辑漏洞,会导致用户收益率受到影响,在相应的计算逻辑存在疏漏,以下为详细解释。合约链上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下图所示,我们注意到在项目用户奖励更新算法逻辑的处理过程中存在对investor数组的一个遍历,此处investor地址存在被重复遍历并且修改对应奖励的可能性。

比特币开发者Calvin Kim将离开BitMEX开源开发者资助项目:金色财经报道,在担任BitMEX开源开发授权人员近三年后,比特币开发者Calvin Kim将离开该项目。Calvin的补助金将于2023年5月31日到期。Calvin从人权基金会(HRF)获得了10万美元的资助,该资助已于2023年5月9日公布。因此,Calvin对比特币和Utreexo的研究和开发工作的资助将继续。[2023/5/31 11:50:52]

元宇宙项目The Kingdom完成360万美元私募融资:4月8日消息,元宇宙项目The Kingdom完成360万美元私募融资,Infinity Ventures Crypto、Alameda Research、Shima Capital、Newman Capital、Sweeper DAO、3 Commas、Chiron Partners、SMG和Liquid Lab Ventures参投。新资金将帮助该平台继续完成NFT、元宇宙、文化和数字艺术领域的开发进程。此外,该平台计划于今年第二季度发布NFT系列。(U.today)[2022/4/8 14:12:25]

如下图所示,用户在通过deposit调用进行抵押的时候,判断当用户抵押数量为0时,可作为investor地址加入投资收益列表从而获得抵押收益,而该判断可被黑客利用。

动态 | Filament为企业提供Blocklet Kit区块链入门套件:据coincryptorama消息,为物联网(IoT)企业提供区块链解决方案的Filament公司,宣布为企业提供Blocklet Kit区块链入门套件。这是一个端到端的区块链解决方案,旨在帮助移动、可再生能源和其他行业采用像区块链这样的分布式账本技术(DLT)。[2018/10/10]

如下图所示,黑客可通过调用withdraw或者withdrawAll函数将指定pid池子中的抵押数量提现,从而使得user.amount为0,进而该地址可以在再次deposit抵押的时候通过相应检查进入investor列表,从而在updatePool函数中对黑客investor地址进行重复遍历并且增加多次抵押奖励,使得抵押奖励分配不均,影响到其他用户的抵押挖矿收益。

Sunny King重返江湖 宣布全新项目VEE:数字货币圈神秘人物、天才程序员Sunny King日前宣布由其担任总设计师的全新项目 VEE正在研发,官网称其为“第五代比特币”据业内人士称,团队目前正在韩国、日本、新加坡、香港、瑞士、伦敦举办技术 路演。作为两个数字货币点点币(PeerCoin)和质数币(PrimeCoin)的创始人,Sunny King 表示,他仍在持续关注其动态。[2018/1/25]

通过查看项目github发现,KingDefi项目方当前已对该问题进行了修改。漏洞修复

那么项目方如何修复该漏洞?查看项目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),发现其在18个小时前曾更新过代码,对比一下更新代码。

发现项目方已经删除了用于存储用户地址的数组,改为了rewardsPerShare变量,该变量表示单位抵押代币所对应的奖励代币;同时项目方也更改了奖励的计算方式(updatePool函数):由原来循环所有用户地址来按比例分配奖励改为更新rewardsPerShare变量来计算用户奖励代币。

对比两种奖励方式,后者已经不会产生前者因为重复计算奖励的问题,这种奖励方式类似于sushiswap的奖励计算方式,同时也避免了前者因为循环次数太多导致的gas销毁过大的问题。漏洞总结

Kingdefi这次的漏洞影响到的是用户的奖励代币数量,攻击者可不断抵押提取来提高自身奖励的分配数量,但是用户的抵押代币是不受任何影响,可以正确安全提取出来。从项目方的修复结果来看,其换了一种常规奖励计算方式,该方式符合抵押挖矿逻辑,用户可正常且正确提取抵押和奖励代币。在此提醒广大项目方,在上线Defi挖矿项目前一定要做好代码审计,不同的计算方式在吸引新用户的同时也会大大增加犯错的风险!i

标签:KINGKININGDEFDABANKINGking币今日价格行情BINGOKong Defi

以太坊交易所热门资讯
以太坊:以太坊EIP-1559升级在即,衍生品指标却显示交易员没看多_比特币在中国能提现吗

衍生品数据显示,相比比特币,交易员对以太坊的乐观情绪并不是那么强烈。尽管与比特币22%的涨幅相比,山寨币在2021年上半年获得了近200%的涨幅,但交易员似乎更容易受到以太坊近期表现不佳的影响.

1900/1/1 0:00:00
区块链:联合国:加密货币产业符合可持续发展理念吗?_RAN

最近一段时间,媒体广泛报道了加密货币对环境所造成的负面影响。同时,加密货币的价格波动也被列为值得关注的问题.

1900/1/1 0:00:00
比特币:墨西哥亿万富豪:希望建立该国第一家接受比特币的银行_Disciplina

加倍下注,不惧波动,比特币成为了墨西哥第三大富豪、GrupoSalinas创始人RicardoSalinasPliego口中的“新黄金”.

1900/1/1 0:00:00
THE:Tether(USDT)和加密货币冰河时代_HER

在2009年,有位叫中本聪的年轻人......抱歉,这可能太久远了。所以,让我们从2021年开始说起吧.

1900/1/1 0:00:00
EFI:DeFi的多链运动:流量向头部应用聚集,以太坊仍为主要阵地_以太坊币现在的价格是多少

分析师|Carol编辑|Tong出品|PANews去年此时,以太坊上的DeFi生态开始爆发。根据DeBank的数据,以太坊上DeFi协议的净锁仓总额从彼时的8.48亿美元激增至当前的469.75.

1900/1/1 0:00:00
CHA:「链上FBI」Chainalysis的加密生意经_HAI

作者:深链六六;编辑:门人;运营:小石头、风清扬2014年,Mt.Gox暴雷,被盗将近885万枚比特币,并最终宣告破产.

1900/1/1 0:00:00