链闻消息,据慢雾区,波卡生态IDO平台Polkatrain于今早发生事故,本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。
慢雾:过去一周Web3生态系统因安全事件损失近160万美元:6月26日消息,慢雾发推称,过去一周Web3生态系统因安全事件损失近160万美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
慢雾:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息,2022年01月18日,一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性,且未考虑并非所有underlying代币都有实现permit函数,导致用户资产被未授权转出。慢雾安全团队建议:应对用户传入的参数是否符合预期进行检查,且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]
标签:TRASWAPPOLDATTRACE币puddingswappolygon币当前美元价格ARTIC Foundation
根据其最新的年度财务报告,美国领先的矿业公司RiotBlockchain的算力在2020年增加了460%,资产负债表上持有的比特币数量增加了一倍以上.
比特傻每天复盘看行情,看什么呢?1、不是看大涨的币,把自己大腿拍断,而是看低落的价值区;2、看大币为代表的大行情走势;3、看新崛起的板块中是否有未涨的币;4、看市场上创新的技术.
尊敬的用户: 币虎DeFi区将于2021年4月2日14:00上线TCL/USDT交易对,具体时间如下:1.开放充币:2021年4月2日11:00;2.开放交易:2021年4月2日14:00;3.
他们来自AI、区块链、数码艺术和赛博朋克等不同领域,鲜衣怒马地汇聚在NFT艺术狂潮中。2021年3月11日或许是一个可以载入艺术史的日子.
“现在没人知道比特币这轮涨势的顶点到底在哪里。”一位华尔街对冲基金经理向记者感慨说。截至4月2日18时,比特币报价徘徊在59527美元/个附近,盘中一度突破6万美元整数关口,创下历史新高6019.
亲爱的库币用户,? 库币公园现已开启!为回馈平台用户,库币平台联合LatticeToken,?Revv,?Klever,?Ultra,Verasity.