链捕手消息,推特用户@Mudit__Gupta发布跨链收益率提升平台PopsicleFinance遭黑客攻击的漏洞分析。分析显示,PopsicleFinance此次攻击共损失约2500万美元。漏洞详情在于,一般合约而言,当用户存入代币时,合约会根据用户的账户更新`token0PerSharePaid`和`token1PerSharePaid`等,以跟踪他们存入代币的时间,合约可以从用户存入的日期而不是从第一天开始向用户支付奖励。
但在Popsicle中,当用户将他们的资金转移到不同的地址时,这些变量不会更新。新地址有资格从第0天开始领取奖励,而不是从用户存入代币开始,黑客利用了这一点。此漏洞还允许用户使用不同的账户多次转移份额并领取相同份额的奖励。
据该名用户,同一漏洞已在十几个其他协议中被利用。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。