【合约协议】——7、SushiSwap协议分析(下)

最新推荐文章于 2024-10-11 16:26:06 发布
最新推荐文章于 2024-10-11 16:26:06 发布
阅读量59 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 公链安全 公链审计 合约安全 合约审计 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140918742
版权
安全问题

在这里我们要对上面的SushiSwap合约中的两个安全问题进行简要分析:

条件竞争

漏洞函数:emergencyWithdraw

漏洞代码:

    // Withdraw without caring about rewards. EMERGENCY ONLY.
    function emergencyWithdraw(uint256 _pid) public {
        PoolInfo storage pool = poolInfo[_pid];
        UserInfo storage user = userInfo[_pid][msg.sender];
        pool.lpToken.safeTransfer(address(msg.sender), user.amount);
        emit EmergencyWithdraw(msg.sender, _pid, user.amount);
        user.amount = 0;
        user.rewardDebt = 0;
    }

漏洞描述:如上面的代码所述,这里的emergencyWithdraw函数用于紧急提款,但是资产的更新位于转账之后,导致存在条件竞争关系。

解决方案:正确的写法理应如下

 function emer
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
专栏目录
订阅专栏
合约协议】——6、SushiSwap协议分析(上)
Fly_鹏程万里
08-04 443
SushiSwap是一个分叉自Uniswap的去中心化交易协议,它在交易模式上延续了Uniswap的核心设计——AMM(自动做市商)模型,但与Uniswap不同之处在于SushiSwap增加了经济奖励模型,SushiSwap交易手续费为0.3%,其中0.25%直接分给发给流动性提供,0.05%买成SUSHI并分配给Sushi代币持有者(Uniswap是通过开关模式决定是否将0.05%的手续费给开发者团队),Sushi在每次分发时会预留10%给项目未来开发迭代及安全审计等。
合约协议】——6、SushiSwap协议分析(中)
Fly_鹏程万里
08-05 48
SushiBar合约的主要作用是抵押SUSHI以获得更多SUSHI,用户可以先抵押Sushi,然后获得xSushi作为回报,然后将其放到xSushi池中,当用户在SushiSwap交易所进行交易时,将收取0.3%的费用,此费用的0.05%以LP令牌的形式添加到SushiBar池中,当奖励合同被调用时(每天最少一次),所有LP代币都将以Sushi的价格出售(在SushiSwap Exchange上), 然后将新购买的SUSHI按比例分配给池中的xSushi持有者,这意味着他们的xSushi现在价值更高。
AVAX雪崩协议/网络 详解及价格预测
加密社的博客
08-15 892
AVAX是否能继续增长,关键看它能否在与以太坊等其他区块链的竞争中占据更大的份额。 以下内容涉及技术原理,经济模型及锁仓价值,与其他公链的对比。 来整体多维度的分析雪崩网络AVAX的未来及价格预测。
SushiSwap 团队成员介绍 —— Omakase
SushiSwap中文站
04-15 511
每周一篇核心成员访谈,了解 Sushi 背后的建设者们。 你是怎么加入 Sushi 的? 几乎每一天,我都会花很多时间在 Github 上,只是为了看看有什么有趣的东西和保持资讯的更新。有一天,在 Github 上,我看到 SushiSwap 智能合约的热度上升。出于了解更多信息的目的,我点开了,它转到了 Medium 上的一篇文章,“顺藤摸瓜”我加入了 Sushi 的 Discord。加入 Discord 后,我开始了解 SushiSwap 的方方面面,以及 AMM 这种机制,很幸运的是这恰巧跟我在大学所
分析 20 个 veToken 生态系统协议 这种代币模型为何受欢迎?
qq_32193015的博客
08-09 433
最近越来越多的 DeFi 协议宣布转向 veTokenomics 模型:Yearn Finance、Synthetix、Pancakeswap 和 Perpetual 协议
DeFi 协议不可更改性研究
qq_32193015的博客
06-01 422
去中心化金融(DeFi)带来了自治协议,其功能由(有时)不可更改的智能合约确保。它使来自世界各地的个人能够使用金融服务,这些服务同时具有主权、可访问性,并且比传统金融中可用的服务更有效率和弹性。这是一个可爱的故事,新人被哄的神魂颠倒:现实要微妙得多。
DeFi之道丨深入分析DEX期货协议的四大“潜力股”,Layer2或将成为爆发催化剂
weixin_44383880的博客
07-06 364
原文:Messari当今 DeFi 中最大的业务就是去中心化交易。具体来说,在 UniswapSushiswap协议上执行时,用你实际拥有的代币去交换另外一种代币。在交易术语中,...
DeFi之暗面——HackFi
Odaily_的博客
01-07 529
DeFi 的热潮点燃了 2020 年的市场情绪,但伴随着应用的发展,新的风险也悄然滋生。据 Odaily星球日报不完全统计,从二月借贷及交易协议 bZx 被盗,到年末明星保险项目 Cov...
DeFi之道丨单一金库模型——DeFi乐高的底座
weixin_44383880的博客
05-16 232
本文来自Deribit Insight , 作者Jacob Goh ,由DeFi之道编译。最近几个月,自动做市商(AMM)领域的创新促进了去中心化交易所(DEXs)的增长。Uniswap发...
unsat钱包签名算法解析
qq_41631913的博客
10-08 289
unsat 钱包使用 ECDSA(椭圆曲线数字签名算法)来签署消息。此算法依赖于椭圆曲线数学,结合哈希函数,确保签名的安全性和唯一性。本文代码示例基于 Node.js 环境,利用多个库实现这一功能。
TON生态小游戏开发:推广、经济模型与UI设计的建设指南
Lovely_xwys的博客
10-11 606
为了确保项目的成功,开发者不仅需要关注核心的技术开发,还需要做好推广、经济模型的设计以及UI的优化。开发TON生态小游戏并不仅仅是技术实现,更重要的是合理的推广策略、精心设计的经济模型和优质的用户界面体验。通过利用Telegram等社区的推广力量,建立可持续的代币经济模型,打造直观和精美的UI界面,开发者可以为玩家提供既有趣又有价值的游戏体验。游戏内资产的NFT化:游戏内的稀有装备、角色、道具等可以通过NFT进行标记,玩家可以通过获得这些NFT道具增强游戏体验,并通过NFT市场进行交易。
[Day 87] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
10-11 347
AI在環境保護中的應用實例隨著全球環境挑戰的不斷加劇,環境保護成為了全世界最為關注的議題之一。面對氣候變化、資源枯竭、污染以及生物多樣性減少等問題,許多傳統的解決方法已經不足以應對這些日益複雜的挑戰。幸運的是,人工智能(AI)技術正以其強大的計算能力與數據處理能力,幫助我們找到新的方法來保護環境。本文將探討AI在環境保護中的應用實例,並通過多個代碼示例來展示如何利用AI技術解決實際的環保問題。污染監測是環境保護中的一個重要領域。AI可以用來監控水、空氣和土壤中的污染水平,並及時檢測異常情況。例如,我們可以通
Solidity 存储和内存管理:深入理解与高效优化
weixin_73901614的博客
10-03 1222
存储(storage)内存(memory)和数据传递(calldata)。这三者负责智能合约中的数据存储与管理,它们有不同的用途和特性,对 gas 的消耗也不同。理解 Solidity 中的存储模型和数据管理对于优化合约性能和降低 gas 成本至关重要。存储(storage)用于持久化数据,操作消耗较高;内存(memory)适用于临时数据处理,消耗较低;而数据传递(calldata)是用于函数参数的高效只读存储。为了编写高效的合约,开发者应根据具体需求合理选择存储区域,并尽量减少不必要的storage。
Chapter 2 - 2. Understanding Congestion in Fibre Channel Fabrics
mounter625的专栏
10-05 1125
帧接收器对帧进行处理(例如,交换机的入口端口将帧发送到出口端口),从而释放缓冲区供再次使用。信元点数是缓冲区的数量,是产品(适配器或交换机)设计时决定的有限资源。这个数量是固定的,不能更改、扩展或从同一端口组中的其他端口借用。信元点,通过借用同一端口组中其他端口的信元点,可将其增加到。点数会立即使端口翻转。信元点数后,端口必须翻转或重新初始化,以重新触发。在缓冲区可供重新使用后,帧接收器会将剩余的。信元点数,但更改的程度取决于产品的能力。同样,帧接收器每接收一个帧,就会将剩余的。,如果为零,则无法传输帧。
富格林:揭晓黑幕躲避交易暗箱
fgl100的博客
10-04 345
进行黄金现货交易时,我们需要保持有规律的交易习惯。现货黄金投资虽然存在风险,但只要投资者采取了相应的措施,听从市场变化,制定合理的交易策略和合理的风险控制措施,就能取得理想的收益率,获得稳定的盈利。在交易过程中,我们可以试着把注意力的重心放在追求交易技巧和体验交易过程的乐趣上,而不是一味地只追求盈利的结果,这是一个不错的选择。实话说坚持自己的观点非常重要,偶尔也可以采取逆向思维,在市场价格波动的时候收到诸多复杂因素的影响,在失去自我决断的时候,投资者往往会选择跟风的行为,甚至产生羊群效应,而走上自损之路。
SpringSecirity(四)——用户退出
weixin_68074170的博客
10-11 138
因为JWT是无状态的,去中心化的,在服务器端无法清除,服务器一旦进行颁发,就只能等待自动过期 才会失效,所以需要redis配合才能完成登录状态的记录。实现思路: 登录后在redis中添加一个白名单,把认证成功的用户的JWT添加到redis中。保存至redis时,加上截止时间。(2)退出后台代码实现。
TON(二)编译中涉及的更多细节
最新发布
zhuqiyua的博客
10-11 564
上回讲到了ton编译的两种模式,今天,让我们更加详细的介绍一下toncli以及相关用法。
系统架构设计师-论文题(2022年下半年)
wlq_567的博客
10-03 1506
系统架构设计师-论文题(2022年下半年)
Bancor协议:智能合约区块链上的自动价格发现和流动机制
Bancor协议是基于智能合约的自动价格发现和自主流动机制,实现了数字货币的持续流动性。该协议通过智能代币拥有一个或者多个连接器,连接到持有其他代币的网络,允许用户直接通过智能代币的合约,按照一个持续计算以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值