WAR:慢雾科技：Cover 协议被黑简要分析_REWARDS

2020年12月29日，据慢雾区情报Cover协议价格暴跌，以下是慢雾安全团队对整个攻击流程的简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。

defil智能合约已通过慢雾科技安全审计:据官方消息，Filecoin去中心化借贷平台defil智能合约已通过慢雾科技SlowMist的安全审计。此次审计的智能合约包括矿工算力质押mFIL合约、以太坊映射eFIL合约、用户权益质押StakingDFL合约等多项均全部通过，投资者可至慢雾科技官网slowmist输入编号：NO. 0X002011230001 查询。

defil是基于Ethereum的Filecoin去中心化借贷协议。截止目前，平台已存入超过160万枚FIL，资产存入量约2.4亿美元，用户参与存FIL可获取利息收益以及平台治理通证DFL，DFL可继续进行Staking挖矿.[2021/5/19 22:18:35]

具体accRewardsPerToken参数差值变化如下图：

声音 | 慢雾科技余弦：数字货币行业缺乏国家相关的监管背书，有很多的乱象:据《每日经济新闻》消息，区块链生态安全公司慢雾科技创始人余弦在接受采访时分析，简单来说，币圈的风险主要有两个。第一个风险是地下黑客，当前的币圈，无论是基础设施还是上层建筑都比较脆弱，相对互联网来说，攻击者的攻击成本很低。通过这些攻击手法，地下黑客能够盗取很多数字货币。第二个风险是这个行业缺乏监管，缺乏国家相关的监管背书，有很多的乱象，比如说各种资金盘、等，这些行为其实都是打着区块链噱头的非法集资。而针对如何保护数字货币的安全，余弦表示，这是一个新的行业，小白投资者应该多学习这个行业的知识，不要只看表面。随着知识的加深，对很多表面上的包装、噱头，自己就会有一些判断。另外，存储数字货币的手机、电脑，要安装杀软件。不使用通过不明渠道下载的软件来存储数字货币，这是最基本的安全防范。[2019/8/30]

现场 | 慢雾科技郭阳：面对DApp安全问题开发人员需提升开发能力:金色财经现场报道，今日，2018可信区块链峰会在北京召开。在主题为“区块链安全焦点关注”的区块链安全论坛上，厦门慢雾科技有限公司慢雾安全负责人郭阳指出了以太坊溢出、权限控制、条件竞争、假充值和EOS恶意占用 RAM、假币等DApp 安全问题，他表示，开发人员要提升自己的开发能力以及专业技能，同时在合约开发完成后找职业的安全团队审计，也可以参考业界的经验分析总结。[2018/10/10]

标签：WARREWARDREWARDSACCKnight War The Holy TrioMetaRewardsACC价格

以太坊热门资讯