链闻消息,据慢雾区,波卡生态IDO平台Polkatrain于今早发生事故,本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]
标签:TRAPOLSWAPRAItranchess币poloniex清退大陆用户怎么用IDL SwapSAITAMURAI币
金色财经区块链4月5日讯?去中心化金融市场在最近两年出现了惊人的增长。在这短短两年时间内,DeFi总锁仓量从区区200万美元到现在已经突破了650亿美元,增长幅度高达万倍.
1900/1/1 0:00:00笔者本来在前几预计比特币就在几天内就要突破前高,想不到比特币还是在这里来回磨蹭,不停的在做震荡整理运动,不过笔者坚信,在后面比特币还是会突破上升楔形突破前高的,各位狗子们,坚持一下就行了.
1900/1/1 0:00:00链闻消息,DeFi量化对冲基金ForceDAO现已开启针对空投奖励代币的申领,按照此前空投计划.
1900/1/1 0:00:00大家好!QDeFiRating和NOAH的ARK很高兴提出我们团队进行的另一项评论。订阅我们的B站频道,观看实用的教程和精彩访谈,随时在其中找到最新的DeFi排名和评论.
1900/1/1 0:00:00消息面:1、谷歌前工程师、比特币研究员VijayBoyapati在推特上表示,在比特币货币化的最后阶段,每个人都会认为,比特币应该成为世界货币,这一点很容易理解.
1900/1/1 0:00:00Placeholder是一家投资开放区块链网络和Web3服务的风险投资公司。这篇文章主要探讨的是:支撑一个加密货币网络资本的初始分布是什么样子的?在最近Placeholder和USV团队进行的一.
1900/1/1 0:00:00
火星链