Polygon zkEVM已修复阻碍L1资产桥接至L2的漏洞，没有资金面临风险

5月29日消息，Scroll 区块链安全研究员 iczc 发推称，在 Polygon zkEVM 中发现一个漏洞，并获得来自 Web3 漏洞赏金平台 Immunefi L2 漏洞赏金。该漏洞导致从 L1 桥接至 Polygon zkEVM（L2）的资产无法在 L2 中正确认领，从而阻碍了 L1 至 L2 的资产迁移。

iczc 在处理认领交易（claim tx）预执行结果的代码逻辑中发现，恶意攻击者可以通过将 Gas 费设置为非零来绕过对认领交易的「isReverted」预执行检查，使其可以通过发送大量低成本的 claim 对定序器和验证器进行 DoS 攻击，从而增加计算开销。此外，交易不会在执行后立即从池中删除。状态从「待定」更新为「选定」，并继续存在于 PostgreSQL 数据库中。目前，只有一个可信的定序器能够从交易池中获取交易并执行它们。因此，另一个漏洞是通过发送一个失败的交易来恶意标记任何存款数。这将导致正确使用存款数的 认领交易被拒绝，因为存款数已经被使用。这使得新用户无法使用 L2 网络。Polygon zkEVM 团队通过删除认领交易的特定 gas 逻辑，修复了这一漏洞，没有资金面临风险。

弹性金融聚合器Polylastic：主网测试阶段正在进行中:1月14日消息，弹性金融聚合器Polylastic发推称，主网测试阶段正在进行中，并表示欢迎参与者在主网公开发布前的最后阶段提交反馈。[2023/1/15 11:12:33]

报告：Filecoin和Polkadot开发人员显著增长:4月16日消息，风险投资公司Electric Capital编制的《开发人员报告》显示，每月有8,000多位活跃的开发人员在从事各种加密货币项目，其中约80％的开发人员始于过去两年。报告还显示，平均每月约有2300名活跃的开发者从事以太坊开发，数量最多。

另外，Polkadot的开发人员人数在2020年增加一倍，达到近400位。 在2019年第三季度到2020年第三季度之间，Filecoin的开发人员数量增加了两倍。（Decrypt）[2021/4/16 20:28:31]

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

相关资讯