📢 Gate廣場 #NERO发帖挑战# 秀觀點贏大獎活動火熱開啓!
Gate NERO生態周來襲!發帖秀出NERO項目洞察和活動實用攻略,瓜分30,000NERO!
💰️ 15位優質發帖用戶 * 2,000枚NERO每人
如何參與:
1️⃣ 調研NERO項目
對NERO的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與NERO生態周相關活動,並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
NERO熱門活動(帖文需附以下活動連結):
NERO Chain (NERO) 生態周:Gate 已上線 NERO 現貨交易,爲回饋平台用戶,HODLer Airdrop、Launchpool、CandyDrop、餘幣寶已上線 NERO,邀您體驗。參與攻略見公告:https://www.gate.com/announcements/article/46284
高質量帖子Tips:
教程越詳細、圖片越直觀、互動量越高,獲獎幾率越大!
市場見解獨到、真實參與經歷、有帶新互動者,評選將優先考慮。
帖子需原創,字數不少於250字,且需獲得至少3條有效互動
Jarvis Network遭閃電貸重入攻擊 損失66萬MATIC代幣
Jarvis Network 項目遭受閃電貸重入攻擊分析
近期,一起針對 Jarvis Network 項目的攻擊事件引起了業界關注。根據鏈上數據監控,攻擊發生於 2023 年 1 月 15 日,導致項目損失了 663,101 個 MATIC 代幣。
通過對攻擊交易的調用棧進行分析,我們發現攻擊者利用了閃電貸和重入漏洞的組合。在移除流動性的過程中,攻擊者成功實施了重入攻擊,導致同一函數在重入前後返回了截然不同的數值。
深入研究發現,問題出在 remove_liquidity 函數中。該函數負責移除流動性並返還用戶代幣。由於 Polygon 鏈與 EVM 兼容,在轉帳過程中觸發了合約的重入邏輯。
關鍵漏洞在於價格計算中使用的 self.D 變量。正常情況下,self.D 應在移除流動性時及時更新。然而,由於代碼邏輯缺陷,self.D 的更新被推遲到了外部調用之後。這使得攻擊者有機會在中間插入操作,利用未更新的 self.D 值進行套利。
雖然 remove_liquidity 函數使用了 @nonreentrant('lock') 裝飾器來防止重入,但攻擊者巧妙地繞過了這一保護機制。他們通過重入其他合約的借貸功能,而非直接重入 remove_liquidity 函數本身,從而規避了重入鎖的限制。
這次攻擊凸顯了智能合約開發中幾個關鍵安全原則的重要性:
這一事件再次提醒我們,在快速發展的區塊鏈生態系統中,安全始終是首要考慮因素。項目開發團隊應當持續關注最新的安全實踐,並定期進行代碼審查和漏洞測試,以確保用戶資產的安全。