比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

KingDefi收益計算邏輯漏洞分析_EFI

Author:

Time:1900/1/1 0:00:00

漏洞原因

近日,據業內人士提供的有關信息,名為KingDefi的項目合約存在漏洞,并提示其他用戶謹慎操作,提取資金并取消授權。知道創宇區塊鏈安全實驗室調研發現,KingDeFi是一個DeFi項目,主要功能包含對BSC、Solana鏈上DeFi的收益聚合分析、用戶DeFi收益追蹤以及項目原生代幣的抵押挖礦。

在查看BSC鏈上的KrownMaster合約源碼后發現,該合約確實存在邏輯漏洞,會導致用戶收益率受到影響,在相應的計算邏輯存在疏漏,以下為詳細解釋。合約鏈上地址如下:https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下圖所示,我們注意到在項目用戶獎勵更新算法邏輯的處理過程中存在對investor數組的一個遍歷,此處investor地址存在被重復遍歷并且修改對應獎勵的可能性。

聲音 | Kik首席執行官:將繼續與美國SEC就加密貨幣Kin的未來展開抗爭:Kik Interactive創始人兼首席執行官Ted Livingston表示,他將繼續與美國SEC就其加密貨幣Kin的未來展開抗爭,直到將公司逼入破產境地。Livingston聲稱,他希望盡快與SEC對質,以解決該監管機構發起的訴訟。這起訴訟削弱了加密貨幣Kin的功能,阻礙了該公司的盈利。

周一,Kik曾宣布將關閉應用程序,并裁員至19人。該公司周三表示,Kik團隊將搬遷到位于安大略省滑鐵盧市的新公司,但拒絕提供更多細節。(BNN Bloomberg)[2019/9/26]

動態 | Kinesis Money啟動借記卡項目,以支持其錨定貴金屬的穩定幣計劃:6月4日,貨幣系統提供商Kinesis Money宣布啟動與Contis Group合作的英國和歐盟借記卡項目。Contis Group是一家平臺即服務公司(PAAS),提供端到端的銀行和支付解決方案。Kinesis已選擇Contis作為其歐洲和英國借記卡解決方案的供應商,并已正式啟動開發,計劃于第4季度發布。屆時,Kinesis借記卡將被集成到Kinesis貨幣系統中,該系統計劃于2019年第三季度推出,以為其基于區塊鏈的錨定黃金和白銀的貨幣提供無縫消費和管理。(EWN)[2019/6/7]

如下圖所示,用戶在通過deposit調用進行抵押的時候,判斷當用戶抵押數量為0時,可作為investor地址加入投資收益列表從而獲得抵押收益,而該判斷可被黑客利用。

動態 | Kik:不認為代幣應符合證券的規則:據華爾街日報消息,加拿大安大略省滑鐵盧的社交媒體創業公司Kik Interactive計劃就美國證券交易委員會(SEC)在2017年對ICO采取的執法行動展開反擊。Kik說,kin是一種數字令牌,在其平臺上就像一種貨幣。這些代幣代表了一種新型資產,不應該像股票或債券發行那樣受到同樣的規則的約束。而SEC執法部門認為,Kik在出售價值1億美元的“kin”時,發行了一種未經注冊的證券。[2019/1/28]

動態 | KICKICO7月26日遭黑客攻擊,損失770萬美元:據Financemagnates消息,區塊鏈眾籌平臺KICKICO 7月26日遭到黑客攻擊,損失770萬美元。平臺發布公告稱目前已經重新獲得對智能合約的控制權,并將被盜的代幣返還到用戶的錢包賬戶。[2018/7/27]

如下圖所示,黑客可通過調用withdraw或者withdrawAll函數將指定pid池子中的抵押數量提現,從而使得user.amount為0,進而該地址可以在再次deposit抵押的時候通過相應檢查進入investor列表,從而在updatePool函數中對黑客investor地址進行重復遍歷并且增加多次抵押獎勵,使得抵押獎勵分配不均,影響到其他用戶的抵押挖礦收益。

通過查看項目github發現,KingDefi項目方當前已對該問題進行了修改。漏洞修復

那么項目方如何修復該漏洞?查看項目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm),發現其在18個小時前曾更新過代碼,對比一下更新代碼。

發現項目方已經刪除了用于存儲用戶地址的數組,改為了rewardsPerShare變量,該變量表示單位抵押代幣所對應的獎勵代幣;同時項目方也更改了獎勵的計算方式(updatePool函數):由原來循環所有用戶地址來按比例分配獎勵改為更新rewardsPerShare變量來計算用戶獎勵代幣。

對比兩種獎勵方式,后者已經不會產生前者因為重復計算獎勵的問題,這種獎勵方式類似于sushiswap的獎勵計算方式,同時也避免了前者因為循環次數太多導致的gas銷毀過大的問題。漏洞總結

Kingdefi這次的漏洞影響到的是用戶的獎勵代幣數量,攻擊者可不斷抵押提取來提高自身獎勵的分配數量,但是用戶的抵押代幣是不受任何影響,可以正確安全提取出來。從項目方的修復結果來看,其換了一種常規獎勵計算方式,該方式符合抵押挖礦邏輯,用戶可正常且正確提取抵押和獎勵代幣。在此提醒廣大項目方,在上線Defi挖礦項目前一定要做好代碼審計,不同的計算方式在吸引新用戶的同時也會大大增加犯錯的風險!i

Tags:KINDEFIEFIDEFHobbs NetworkingXDEFI WalletHEFI幣defi幣有哪些

比特幣交易
美元穩定幣年增超20倍,流動性泛濫下加密牛市仍將繼續?_USDC

2021年五月份,USDT印鈔110億枚,而在2020年5月份該數據僅為25億枚,同比漲幅440%;USDC五月份新印鈔83億枚,2020年5月份該數據為1300萬枚,同比漲幅63800%.

1900/1/1 0:00:00
以太坊EIP1559能否點燃7月的加密市場?_以太坊

全球加密市場在本月月22日歷經驚險一幕:BTC跌破3萬美元大關,加密市值上演集體大跳水。盡管隨后BTC價格再次反彈回3萬美元以上,但不少指標已顯示加密市場有轉熊的跡象.

1900/1/1 0:00:00
比特幣跌破三萬后反彈,真的需要擔心熊市到來嗎?_加密貨幣

隨著近期中國加大加密貨幣監管力度,央行帶動各大銀行和支付機構聯合禁止帳戶從事虛擬貨幣交易。比特幣的價格也連帶受到影響,更一度跌至約三萬美元以下,創下自6月9日以來的新低點.

1900/1/1 0:00:00
星球日報 | 巴西上市拉丁美洲首只比特幣ETF;?薩爾瓦多不接受任何山寨幣作為法幣_加密貨幣

頭條 巴西證券交易所上市拉丁美洲首只比特幣ETF區塊鏈投資公司QRCapital的比特幣交易所交易基金今天開始在巴西證券交易所交易.

1900/1/1 0:00:00
加密市場「黑五月」引發DeFi清算海嘯_DEF

Odaily星球日報譯者|Moni 5月19日,加密貨幣市場經歷了自2020年3月12日“黑色星期四”以來最重大的流動性下跌和價格波動,比特幣日內價格差異區間高達11,506美元.

1900/1/1 0:00:00
「元宇宙」的新商業模式與投資機會_TPS

這幾天一連用了好幾篇文章和大家分享我對元宇宙的理解。在文章的末尾有讀者感覺對這個概念和文章中介紹的項目非常陌生,甚至覺得有點玄幻.

1900/1/1 0:00:00
ads