一川driveКак задеплоить NFT контракт на Base: ThirdWeb & Remix 👨💻
Всем Хаюшки 👋 Для тех, кто не видел, Base выкатили новый квест - Early Builder on Base Testnet, по прохождению которого можно залутать рарную NFT! P.S. Если вы не в курсе, то Coinbase запустила тестнет L2-решения Base, разработанного на базе архитектуры OP Stack от Optimism. Проявим доп актив + приблизим себя к дропу :)В данном гайде рассмотрю два варианта развертывания контракта: через Thirdweb и Remix. Рекомендую сделать оба варианта.Часть I 👉 подготовка1️⃣ Добавляем сеть Base к нам в кош...
一川driveUniBot - новая парадигма для LP на Uniswap V3
Что такое UniBot?UniBot — это первая платформа предоставления ликвидности с кредитным плечом (LLP) на Uniswap V3, где пользователи могут создавать позиции для обеспечения ликвидности в Uniswap V3 с кредитным плечом, хеджированием и автоматизацией на Layer 2 блокчейне. Это новый продукт, запущенный протоколом Diamond, специализирующимся на создании структурированных продуктов в сети.UniBot разработан, чтобы помочь DeFi пользователям создавать хеджированные позиции по предоставлению ликвидности...
一川driveПочему в последнее время на Uniswap такой низкий APR?
UniBot начисляет комиссию за плату транзакции, которую трейдеры платят на Uniswap V3. На Uniswap трейдеры, которые свапают токен A на токен B, должны будут заплатить определенный процент от общей стоимости свапа поставщикам ликвидности, в качестве компенсации за предоставленную ими ликвидность и непостоянные убытки. Каждый пул на Uniswap имеет свой «уровень комиссионных», который символизирует процентную долю стоимости свапа, распределяемую между поставщиками ликвидности. В случае с UniBot, в...
CM: @zkxprotocol | @CygnusDAO Tester: @myBraavos | @Starknet_id ⚡ 𝐂𝐫𝐲𝐩𝐭𝐨 & 𝐖𝐞𝐛 𝟑 ⚡ 🀄 中文 /𝐄𝐧𝐠𝐥𝐢𝐬𝐡/ Русский 🀄
Subscribe to 一川drive
一川driveКак задеплоить NFT контракт на Base: ThirdWeb & Remix 👨💻
Всем Хаюшки 👋 Для тех, кто не видел, Base выкатили новый квест - Early Builder on Base Testnet, по прохождению которого можно залутать рарную NFT! P.S. Если вы не в курсе, то Coinbase запустила тестнет L2-решения Base, разработанного на базе архитектуры OP Stack от Optimism. Проявим доп актив + приблизим себя к дропу :)В данном гайде рассмотрю два варианта развертывания контракта: через Thirdweb и Remix. Рекомендую сделать оба варианта.Часть I 👉 подготовка1️⃣ Добавляем сеть Base к нам в кош...
一川driveUniBot - новая парадигма для LP на Uniswap V3
Что такое UniBot?UniBot — это первая платформа предоставления ликвидности с кредитным плечом (LLP) на Uniswap V3, где пользователи могут создавать позиции для обеспечения ликвидности в Uniswap V3 с кредитным плечом, хеджированием и автоматизацией на Layer 2 блокчейне. Это новый продукт, запущенный протоколом Diamond, специализирующимся на создании структурированных продуктов в сети.UniBot разработан, чтобы помочь DeFi пользователям создавать хеджированные позиции по предоставлению ликвидности...
一川driveПочему в последнее время на Uniswap такой низкий APR?
UniBot начисляет комиссию за плату транзакции, которую трейдеры платят на Uniswap V3. На Uniswap трейдеры, которые свапают токен A на токен B, должны будут заплатить определенный процент от общей стоимости свапа поставщикам ликвидности, в качестве компенсации за предоставленную ими ликвидность и непостоянные убытки. Каждый пул на Uniswap имеет свой «уровень комиссионных», который символизирует процентную долю стоимости свапа, распределяемую между поставщиками ликвидности. В случае с UniBot, в...
Share Dialog
Share Dialog
>100 subscribers
>100 subscribers
昨天(2022年4月16日)在晚上8:42PM UTC我们通过Immune Fi收到了漏洞披露。 此漏洞将允许攻击者提取用户的资金。
。 。 。
晚上 20:42 通过ImmuneFi收到了回报
晚上 20:48 ImmuneFi的团队加剧了这个问题
晚上 20:50 团队确认了问题恶化,确认它可能是有效的,并开始调查它
晚上 21:50 团队确认这是个漏洞,并与白帽黑客开始沟通进行
晚上 21:57 我们暂停了已部署链中的所有存款和掉期,我们开始查看是否被攻击了
晚上 22:30 验证漏洞未不是攻击
关于用户可以提粗多少个令牌的计算可以通过允许更改小数的恶意令牌进行操作。
修复步骤
部署让攻击者控制 decimals() 的恶意令牌 (let's call it Poison(PSN) )
=>攻击者以18位小数启动恶意令牌。
使用我们的恶意令牌和我们想要窃取的令牌在UniswapV3上创建一个池 ( PSN/ETH ),然后我们的 OracleAggregator可以稍后有一个oracle
=>攻击者在池中设置1比1的比例
在我们的集线器创建一个仓位 PSN 往 ETH
=>率为0.1 `PSN`
在对上执行交换 PSN/ETH
=>计算是用18位小数进行的,因此以1比1的比例用户可以提出 0.1ETH
兑换 decimals()
=>攻击者将小数设置为17
把资金提出去了
=>新的计算是用17位小数完成的,所以欠的0.1个ETH变成了1个ETH
可悲的是,bug在软件中并不罕见。 他们是流程的一部分,这是所有程序员都需要忍受的。 尽管如此,我们还是做了几件事来减少生产它们的机会:
测试: 我们所有的存储库都有大约800个测试。 我们甚至在受影响的存储库上有+99%的复盖率。 我们有单元,集成和端到端测试
审计: 我们的协议被两个**Pessimistic** 与 Peckshield审计过了两次
Bug赏金:我们在ImmuneFirst有了一个bug赏金活动
**加密货币挺困难:**人类容易出错,区块链是不可变的。 我们可以做一些事情来解决这个问题,但一切都需要权衡(例如,具有可升级的智能合约)
**ImmuneFi 能干:**从我们设置bug赏金的那一天起,我们收到了多个回报:其中大多数都不适用,或者是未成年人。 但这证明了bug奖励提供了多少曝光和价值。 如果你是一个没有活bug奖励的协议开发者:尽快得到它!
**我们不会放手:**我们将尽我们所能为每个人带来安全,可访问和分散的平均成本。 这可能是一个失利,但它不会阻止我们实现我们的目标
用户可以像以前一样通过我们的dApp安全地提出自己的资金
用户不能再在合约上创建新仓位
本次版本合约的掉期将不再执行
集线器实现将需要修复。 在接下来的几天里,我们将宣布前进的步骤以及我们的流程将如何改变,以确保它不会再次发生
骗子可能想利用这些新信息,所以只是重申一下:
非常感谢白帽黑客cergyk,他们通过我们的ImmuneFi's的**bug**赏金做了一个负责任的披露。
昨天(2022年4月16日)在晚上8:42PM UTC我们通过Immune Fi收到了漏洞披露。 此漏洞将允许攻击者提取用户的资金。
。 。 。
晚上 20:42 通过ImmuneFi收到了回报
晚上 20:48 ImmuneFi的团队加剧了这个问题
晚上 20:50 团队确认了问题恶化,确认它可能是有效的,并开始调查它
晚上 21:50 团队确认这是个漏洞,并与白帽黑客开始沟通进行
晚上 21:57 我们暂停了已部署链中的所有存款和掉期,我们开始查看是否被攻击了
晚上 22:30 验证漏洞未不是攻击
关于用户可以提粗多少个令牌的计算可以通过允许更改小数的恶意令牌进行操作。
修复步骤
部署让攻击者控制 decimals() 的恶意令牌 (let's call it Poison(PSN) )
=>攻击者以18位小数启动恶意令牌。
使用我们的恶意令牌和我们想要窃取的令牌在UniswapV3上创建一个池 ( PSN/ETH ),然后我们的 OracleAggregator可以稍后有一个oracle
=>攻击者在池中设置1比1的比例
在我们的集线器创建一个仓位 PSN 往 ETH
=>率为0.1 `PSN`
在对上执行交换 PSN/ETH
=>计算是用18位小数进行的,因此以1比1的比例用户可以提出 0.1ETH
兑换 decimals()
=>攻击者将小数设置为17
把资金提出去了
=>新的计算是用17位小数完成的,所以欠的0.1个ETH变成了1个ETH
可悲的是,bug在软件中并不罕见。 他们是流程的一部分,这是所有程序员都需要忍受的。 尽管如此,我们还是做了几件事来减少生产它们的机会:
测试: 我们所有的存储库都有大约800个测试。 我们甚至在受影响的存储库上有+99%的复盖率。 我们有单元,集成和端到端测试
审计: 我们的协议被两个**Pessimistic** 与 Peckshield审计过了两次
Bug赏金:我们在ImmuneFirst有了一个bug赏金活动
**加密货币挺困难:**人类容易出错,区块链是不可变的。 我们可以做一些事情来解决这个问题,但一切都需要权衡(例如,具有可升级的智能合约)
**ImmuneFi 能干:**从我们设置bug赏金的那一天起,我们收到了多个回报:其中大多数都不适用,或者是未成年人。 但这证明了bug奖励提供了多少曝光和价值。 如果你是一个没有活bug奖励的协议开发者:尽快得到它!
**我们不会放手:**我们将尽我们所能为每个人带来安全,可访问和分散的平均成本。 这可能是一个失利,但它不会阻止我们实现我们的目标
用户可以像以前一样通过我们的dApp安全地提出自己的资金
用户不能再在合约上创建新仓位
本次版本合约的掉期将不再执行
集线器实现将需要修复。 在接下来的几天里,我们将宣布前进的步骤以及我们的流程将如何改变,以确保它不会再次发生
骗子可能想利用这些新信息,所以只是重申一下:
非常感谢白帽黑客cergyk,他们通过我们的ImmuneFi's的**bug**赏金做了一个负责任的披露。
No activity yet