REWARD:慢雾分析 Cover 协议攻击流程：rewardWriteoff 新旧参数差值导致计算出更大的铸造奖励数量_WAR

链闻消息，针对DeFi保险项目Cover协议被攻击一事，慢雾安全团队对整个攻击流程进行了简要分析：1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；2.攻击者在第一次进行deposit、withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit、claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。

慢雾:BSC链上项目BXH遭受攻击分析:10月30日消息，据慢雾区情报，2021年10月30日，币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击，被盗约1.3亿美金。经慢雾安全团队分析，黑客于27日13时(UTC)部署了攻击合约0x8877，接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改，导致攻击者利用此权限转移了项目资产。[2021/10/30 6:22:02]

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

声音 | 慢雾分析：以太坊“君士坦丁堡”和“圣彼得堡”硬分叉成功:据慢雾实时监测以太坊“君士坦丁堡”和“圣彼得堡”硬分叉成功。目前通过 Geth 和 Parity 节点观察到在区块高度 7280000 之后出块稳定，说明以太坊硬分叉已经成功，中间由于最后五分钟用户访问量过大导致 Etherscan 和 ethdevops 网站无法访问，说明大家还是很关注本次以太坊升级的。同时慢雾也提醒大家不要过于激动，分叉是成功了，未来会遇到什么问题目前都是不确定的，希望大家继续保持关注。[2019/3/1]

标签：REWARDWARREWARDSONESBilliard Crypto RewardMooniWarWorld Of RewardsBONES币

币安交易所app下载热门资讯