区块链:KingDefi收益计算逻辑漏洞分析_FLOW

漏洞原因

近日，据业内人士提供的有关信息，名为KingDefi的项目合约存在漏洞，并提示其他用户谨慎操作，提取资金并取消授权。知道创宇区块链安全实验室调研发现，KingDeFi是一个DeFi项目，主要功能包含对BSC、Solana链上DeFi的收益聚合分析、用户DeFi收益追踪以及项目原生代币的抵押挖矿。

在查看BSC链上的KrownMaster合约源码后发现，该合约确实存在逻辑漏洞，会导致用户收益率受到影响，在相应的计算逻辑存在疏漏，以下为详细解释。合约链上地址如下：https://bscscan.com/address/0x56a65a3736e65349e5b0737cb2c5eb7d5ccbbbe3#code如下图所示，我们注意到在项目用户奖励更新算法逻辑的处理过程中存在对investor数组的一个遍历，此处investor地址存在被重复遍历并且修改对应奖励的可能性。

Faruqi & Faruqi正调查Coinbase因韦尔斯通知造成投资者损失达5万美元的潜在索赔人:金色财经报道，美国国家证券律师事务所 Faruqi & Faruqi 正在调查Coinbase因韦尔斯通知造成投资者损失达5万美元的潜在索尔名单，其合伙人James Wilson鼓励在投资Coinbase的股票或期权而蒙受损失超过5万美元的投资者直接联系他。2023年3月22日，Coinbase 在一份监管文件中表示已收到美国证券交易委员会的韦尔斯通知（Wells Notice），其中称美国证券交易委员会工作人员已做出“初步决定”，建议对其采取执法行动违反联邦证券法。（prnewswire）[2023/4/30 14:36:05]

全国首个“数字藏品通用标准”发布:金色财经报道，中国区块链金融创新发展大会暨数字金陵发展论坛近日在南京建邺举行，中国通信工业协会区块链专业委员会牵头联合发起的全国首个“数字藏品通用标准” 《数字藏品通用标准1.0》在大会上发布。（中国产业经济信息网）[2022/9/7 13:14:19]

如下图所示，用户在通过deposit调用进行抵押的时候，判断当用户抵押数量为0时，可作为investor地址加入投资收益列表从而获得抵押收益，而该判断可被黑客利用。

Wework创始人新项目Flowcarbon公布其区块链市场基础设施合作伙伴:8月23日消息，Wework 创始人创立的区块链碳信用交易平台 Flowcarbon 公布了其关键区块链市场基础设施合作伙伴，包括去中心化交易平台和自动化做市商协议 Ubeswap、交易路由器和软件开发工具包 (SDK) Node Finance、移动钱包 Valora 以及 dapp Flywallet，它们将在 Celo 区块链上使用 Flowcarbon 的 Token 化碳信用创建基础设施。

此前报道，Flowcarbon 于今年五月完成 7000 万美元融资，a16z 领投。（businesswire）[2022/8/23 12:43:33]

如下图所示，黑客可通过调用withdraw或者withdrawAll函数将指定pid池子中的抵押数量提现，从而使得user.amount为0，进而该地址可以在再次deposit抵押的时候通过相应检查进入investor列表，从而在updatePool函数中对黑客investor地址进行重复遍历并且增加多次抵押奖励，使得抵押奖励分配不均，影响到其他用户的抵押挖矿收益。

霍比特HBTC将于今日上线“HNT 14日定期”Staking产品:据官方公告，霍比特HBTC币多多专区将于2月26日10:00（UTC+8）正式上线“HNT 14日定期”Staking产品。

本期“HNT 14日定期”Staking产品总计将开放50,000 HNT额度，单人质押额度最低1个HNT，最高20,000个HNT。更多详情见原文链接。

Helium是一个为低能耗物联网设备能与互联网连接互通所建立的点对点无线网络。利用Hotspots以及其他物联网设备的数据传输器，网络维护者可以通过Proof of Coverage Challenges来证明他们对网络的贡献并获得HNT代币奖励。[2021/2/26 17:54:44]

通过查看项目github发现，KingDefi项目方当前已对该问题进行了修改。漏洞修复

那么项目方如何修复该漏洞？查看项目的github地址(https://github.com/kingdefi/Krown-Contracts/tree/main/Farm)，发现其在18个小时前曾更新过代码，对比一下更新代码。

发现项目方已经删除了用于存储用户地址的数组，改为了rewardsPerShare变量，该变量表示单位抵押代币所对应的奖励代币；同时项目方也更改了奖励的计算方式(updatePool函数)：由原来循环所有用户地址来按比例分配奖励改为更新rewardsPerShare变量来计算用户奖励代币。

对比两种奖励方式，后者已经不会产生前者因为重复计算奖励的问题，这种奖励方式类似于sushiswap的奖励计算方式，同时也避免了前者因为循环次数太多导致的gas销毁过大的问题。漏洞总结

Kingdefi这次的漏洞影响到的是用户的奖励代币数量，攻击者可不断抵押提取来提高自身奖励的分配数量，但是用户的抵押代币是不受任何影响，可以正确安全提取出来。从项目方的修复结果来看，其换了一种常规奖励计算方式，该方式符合抵押挖矿逻辑，用户可正常且正确提取抵押和奖励代币。在此提醒广大项目方，在上线Defi挖矿项目前一定要做好代码审计，不同的计算方式在吸引新用户的同时也会大大增加犯错的风险！i

标签：HNT区块链FLOWFLOHNT币是合法的吗区块链币在中国合法吗DEXFLOWMetaFlokiMon Go

DOT热门资讯