By:??慢雾安全团队
据慢雾区情报,2020年12月29日,Cover协议价格暴跌。慢雾安全团队第一时间跟进相关事件并进行分析,以下为分析简略过程。
攻击流程简析
1、在Cover协议的Blacksmith合约中,用户可以通过deposit函数抵押BPT代币;
2、攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子,并使用accRewardsPerToken来记录累计奖励;
Morgan Creek Capital CEO:下一次加密牛市可能会在2023年第二季度开启:金色财经报道,Morgan Creek Capital Management 创始人兼首席执行官 Mark Yusko 对Cointelegraph表示,下一个加密货币牛市将比大多数人想象的更早开始,Yusko 认为下一次加密牛市,他称之为“加密盛夏”,可能会在今年第二季度开始,原因是更温和的央行政策和对比特币减半的预期。
Yusko 表示,虽然美联储不太可能很快降息,但市场倾向于预期美联储的决定,这意味着即使是放缓或暂停加息也会被解读为即将到来的转向信号,这将刺激包括加密货币在内的所有风险资产引发积极走势。[2023/2/4 11:46:59]
3、之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录;
Axie Infinity土地质押正式上线:一次交易最多质押3块土地:7月1日消息,Axie Infinity宣布正式上线土地质押(Land Staking),每天提供11,194.62 枚 AXS 奖励。目前玩家在一次交易最多只能质押 3 块土地。
Axie Infinity表示,后续一旦发布任何类型支持 Token 奖励的虚拟地块(Land)游戏,这些土地质押(Land Staking)奖励都将会通过游戏转换为奖励。[2022/7/1 1:44:20]
4、在攻击者第一次withdraw后还留有一小部分的BPT进行抵押;
分析师:比特币下一次突破或自大型零售商宣布接受比特币支付开始:DataTrek Research联合创始人Nick Colas称,大量投资者错误地认为,如果股市大涨,比特币也会跟着涨。Colas说,在2月初市场下跌时,股票和比特币相关性非常高;但随着股市开始反弹,这种相关性逐渐消失。比特币下一次突破的催化剂可能是某个大型零售商宣布接受比特币支付。Colas预期,2018年比特币均价为14000美元。[2018/3/1]
5、此时攻击者将第二次进行deposit,并通过claimRewards提取奖励;
6、问题出在rewardWriteoff的具体计算,在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory,此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值;
7、由于memory中获取的Pool值是旧的,其对应记录的accRewardsPerToken也是旧的会赋值到miner;
8、之后再进行新的一次updatePool时,由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小,所以最后获得的accRewardsPerToken将变大;
9、此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值,在进行rewardWriteoff计算时获得的值也将偏小,但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值;
10、因此在进行具体奖励计算时由于这个新旧参数之前差值,会导致计算出一个偏大的数值;
11、所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币,导致COVER代币增发。
具体accRewardsPerToken参数差值变化如下图:
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。