DeFi保险协议Cover遭攻击:PeckShield技术解析

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

PeckShield表示,该攻击主要是由于业务逻辑错误导致误算质押用户奖励,并在不同DEX抛售套利。

- 首先,在一段运行时间内,攻击者给Blacksmith打了一些LPtoken,然后调用函数updatePool时,通过异常的pool.accRewardsPerToken计算COVER的奖励。- 接着,攻击者调用函数_claimCoverRewards和_claimBonus记录挖矿者的奖励。- 最后,挖矿者的状态被记录下来,包括质押的数量,并使用函数rewardWriteoff和函数bonusWriteoff进行处理。

具体来说,当前协议利用pool.accRewardsPerToken来计算第130行miner.amount.mul(pool.accRewardsPerToken).p(CAL_MULTIPLIER)的奖励。由于函数updatePool未对pool类型进行更新,导致计算出来的rewardWriteoff比预期的数额小。

在下一次同一用户获取质押奖励时,质押合约(例如Blacksmith)将会铸造更多的COVER,这将大大提升铸币数量。目前,已经在流通量中铸造了超过40,000,000,000,000,000,000枚COVER。

攻击者被标记为GrapFinance白帽子的地址。在获利后,他们将所得收益还给了Cover团队,并销毁了剩余的COVER,并留言:下一次,管好你自己的事。

对于DeFi保险项目来说,其初衷是为其他DeFi项目降低风险损失。然而,随着DeFi生态的壮大和锁仓值的持续增长,DeFi项目遭到黑客觊觎的风险也在增加,特别是新兴的DeFi保险项目,应该加强安全防护。该攻击暴露了该保险项目存在的漏洞,是否能帮助用户抵御风险有待考察。

在DeFi领域,崇尚「代码即法律」(Code is Law),项目方不仅需要编写高质量的代码,还要在攻击发生后自查代码以防患于未然。PeckShield提醒,如果对此不了解,应寻找专业的审计机构进行审计和研究。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/52258.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月11日
下一篇 2023年08月11日

相关推荐

  • 什么是Stacks Stacks与STAR原则:进步工做效率的法门

    本文目次导读:StacksSTAR原则StacksStacks是一种数据构造,它是一种线性表,具有后进先出(Last In First Out,LIFO)的特征,那意味着最初一个进入栈的元素将会是第一个被拜候或移除的元素,在计算机科学和编程

    2024-04-24 22:30:16
    73 0
  • 「金色财经」Phalcon:合约0x8c2d4e遭受攻击,损失约36.5万美元

    「金色财经」根据金融报道,Phalcon在X平台上发布消息称,由于缺乏访问控制,合约0x8c2d4e(可能是MEV机器人)受到攻击,损失约36.5万美元攻击者首先调用函数0xac3994ec将自己指定为特权地址(可能是债务所有者的角色)随后

    2023-11-13 11:30:06
    157 0
  • 「金色财经」Aptos Labs正在为Move开发新编译器Aptos Move Compiler

    「金色财经」AptosLabs11月12日宣布,AptosMoveCompiler正在为智能合约语言Move开发新的编译器,它将增加一些新的语言功能,包括接收器风格的函数调用,支持一般的高级函数,开发者可以定义定制功能、资源访问控制、回归全

    2023-11-12 11:01:35
    81 0
  • 三角函数的应用场景简介

    在数学上,cosine(余弦)函数是一种常见的三角函数。它经常被用于计算三角形的各种边长以及角度。当我们想知道一个角度的余弦值时,我们可以在计算器中使用cos函数进行计算。但是你是否曾思考过,当角度为90度时,cosine的值是多少?除此之

    2023-11-12 02:01:59
    87 0
  • DEUS被攻击事件的漏洞分析

    中国北京时间2023年5月6日,DEUS的稳定币 DEI 合约存在 burn 逻辑漏洞,攻击者已盈利约 630 万美金。SharkTeam 针对此事件进行了技术指标分析,并总结了安全防护方式。希望未来的项目能以此为教训,共同构建区块链行业的

    2023-11-10 14:02:25
    82 0
  • 「金色财经」Beosin:TrustPad被黑客攻击损失15.5万美元

    「金色财经」金色财经报道,据Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,TrustPad被黑客攻击,Beosin安全团队分析发现TrustPad被攻击的根本原因在于receiveUpPool函数未验证m

    2023-11-07 16:00:08
    90 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载