Polar Stream被恶意操纵更新

post image

亲爱的Umbrella社区:

这是 2022 年 3 月 20 日(星期日)昨天发生的 Polar Stream 智能合约漏洞利用的后续行动。团队有一些时间来更深入地研究这种情况,我们在下面概述了我们采取的一些行动已经针对该漏洞采取了应对措施,并列出了我们建议继续推进的其他后续步骤。

下面,我们将:(1) 讨论发生的背景,(2) 研究从那以后发生的不同情况,以及 (3) 列出解决每个问题的具体行动项目。

背景与发现

2022 年 3 月 20 日星期日,不良行为者设法利用了我们在 ETH 和 BSC 上的 Polar Stream 2.0 质押合约中的智能合约代码问题。结果,他们设法耗尽了存放在这些金库中的所有 LP 通证的两个池。从 Polar ETH 2.0 中总共提取了 9,011 个 LP 通证,从 Polar BSC 2.0 中提取了另外 8,727 个 LP 通证。黑客随后从 Uniswap UMB-ETH 池和 Pancakeswap UMB-BNB 池中删除了与这些 LP 通证相关的所有流动性。然后他们在公开市场上出售了大约 220 万的 UMB 通证。

Polar Stream staking池的耗尽也导致了另一个问题,即 rUMB2 的超额释放,作为对 Polar Stream 中所有 staking 用户的奖励,尤其是 BSC 上的staking用户。总体而言,自几天前奖励计划开始以来,ETH 和 BSC 上总共分配了 493,885 rUMB2 和 12,281,892 rUMB2。结果,特别是在 BSC 上,现在已经发出了过多的 rUMB2,并且在用户的钱包中。

作为一般规则,我们所有的智能合约和代码都经过审计。然而,被利用的 Polar Stream 质押合约被遗漏并且没有重新审核。所有 1.0 的staking合约都经过了慢雾的审计,包括 Polar 1.0。包括 Hadley-Astro 在内的所有 2.0 staking合约均由 Certik 审计。不幸的是,Polar 2.0 staking合约没有。一开始,没有计划更改 2.0 版本的 Polar stream 智能合约,但是,决定优化 2.0 的 gas 费用。实现了一个非常小的代码更改,这为漏洞利用打开了大门。

我们将在下一节讨论我们将采取哪些步骤来解决所有这些问题以及防止这种情况在未来发生的方法。

Umbrella团队回应

我们将分几个部分讨论响应:

  1. 对最初的 Polar Staking 漏洞的响应和建议的后续步骤

  2. 对 rUMB2 超量排放的响应和建议的下一步措施

  3. 计划如何改进当前流程,以尽量减少和防止这种情况再次发生。

响应和建议的后续步骤 - Polar Staking Exploit

目标是让我们的贡献者完整,就好像漏洞没有发生一样。为此,Umbrella Network 将从公开市场回购 220 万个 UMB 通证,以抵消黑客倾销的过多通证。我们今天早些时候已经开始回购,并将在接下来的 24 小时内完成全部回购。我们回购的这 220 万个通证以及等值的 ETH 和 BNB 将用于将流动性返还到 Uniswap UMB-ETH 和 Pancakeswap UMB-BNB 池中。收到的最终 LP 通证将随后返回/分发给两个 Polar Streams 上的所有原始质押者。一旦我们重新发布质押流,一些额外的 ETH 或 BNB 将被发送到每个钱包,以帮助支付重新质押回 Polar 的GAS费。通过这种方式,我们希望每个人都能在他们持有的 LP 通证上变得完整。LP 通证的分配将在回购完成后的 1 到 2 天内开始,一旦流动性被添加回池中。

Polar 2.0 的修复将立即完成。随后,所有 2.0 staking合约现在都将由第二个审计师慢雾公司进行审计,以确保没有问题。由于 Hadley-Astro 2.0 staking金库已由 Certik 审核,没有出现重大问题,因此这些staking stream将保持在线并可用于staking和奖励分配。我们将在未来几天向社区发布 Certik 审计报告的摘要,以确保完全透明。Polar 2.0 将保持离线状态,直到慢雾审核完成。

响应和建议的后续步骤 - rUMB2 的过度释放

我们在 rUMB2 通证中内置了功能,允许我们将通证冻结在钱包中。因此,我们冻结了用户钱包中从 Polar 2.0 中赚取 rUMB2 的所有 rUMB2 通证。拥有 rUMB2 的 ETH 和 BSC 上的钱包不到 50 个和 50 个。所有这些 rUMB2 目前都被冻结,因此持有者无法转移或交换这些通证,实际上使它们变得无用。所有这些 rUMB2 持有者必须通过电子邮件联系 Umbrella Network,电子邮件地址为 help@umb.network,并提供您的钱包地址,以及一条消息说您持有数量。

Umbrella Network

Umbrella Network 是一个可扩展、去中心化和社区拥有的预言机,我们利用 2 层技术将实时数据集成到智能合约中,以提供准确及时的报告。Umbrella Network 将世界数据带入区块链,使 DeFi 应用程序能够在精确信息传播方面以最佳水平运行。它认为去中心化的预言机对于创建真正去中心化的金融空间至关重要。

中文推特:

https://twitter.com/umbnetwork_CN

中文电报:

https://t.me/umbnetwork_China

中文微博:

UmbrellaNetwork中文

公众号:

UmbNetwork中文