Polkatrain返傭套利,損失金額$ 3,000,000_POL

據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。

Polygon zkEVM已修復阻礙L1資產橋接至L2的漏洞，沒有資金面臨風險:5月29日消息，Scroll 區塊鏈安全研究員 iczc 發推稱，在 Polygon zkEVM 中發現一個漏洞，并獲得來自 Web3 漏洞賞金平臺 Immunefi L2 漏洞賞金。該漏洞導致從 L1 橋接至 Polygon zkEVM（L2）的資產無法在 L2 中正確認領，從而阻礙了 L1 至 L2 的資產遷移。

iczc 在處理認領交易（claim tx）預執行結果的代碼邏輯中發現，惡意攻擊者可以通過將 Gas 費設置為非零來繞過對認領交易的「isReverted」預執行檢查，使其可以通過發送大量低成本的 claim 對定序器和驗證器進行 DoS 攻擊，從而增加計算開銷。此外，交易不會在執行后立即從池中刪除。狀態從「待定」更新為「選定」，并繼續存在于 PostgreSQL 數據庫中。目前，只有一個可信的定序器能夠從交易池中獲取交易并執行它們。因此，另一個漏洞是通過發送一個失敗的交易來惡意標記任何存款數。這將導致正確使用存款數的 認領交易被拒絕，因為存款數已經被使用。這使得新用戶無法使用 L2 網絡。Polygon zkEVM 團隊通過刪除認領交易的特定 gas 邏輯，修復了這一漏洞，沒有資金面臨風險。[2023/5/29 9:48:40]

穩定幣聚合協議mStable正式上線Polygon:據官方消息，穩定幣聚合協議mStable宣布現已正式上線Polygon（原MaticNetwork）。mStable表示，用戶將能以幾乎零交易成本來交易DAI、USDT以及USDC，儲蓄理財產品mUSDSave也將上線Polygon。[2021/4/27 21:02:06]

去中心化預測平臺Polymarket的押注者認為ETH 2.0不會如期啟動:金色財經報道，去中心化預測平臺Polymarket上的押注者認為，ETH 2.0不會按預期推出。據悉，為了使以太坊2.0第0階段生效，需要在11月24日（12月1日之前的7天）之前將至少524,288 ETH（當前價值約2.47億美元）存入以太坊2.0質押存款合同。然而，到目前為止僅存入101,984 ETH，即目標的約20％。[2020/11/19 21:16:34]

Tags：POLPOLYOLYLYGPolkaSmithPOLYBUNNY價格Polymerizepolygon幣價

幣贏