并非黑客攻击、“幕后元凶”是它｜BDP无法提现事件分析

撰文 : 知道创宇区块链安全实验室

前言

Big Data Protocol 是为 Web3.0 数据市场提供动力的 DeFi 协议；该协议通过由专业数据提供商组成的网 络，对具有商业价值的数据进行令牌化，并使数据令牌在Uniswap上具有流动性；用户通过为数据令牌提供流动性来赚取数据。挖矿机制上线后总锁仓量一度达到 65 亿美元，位列 DeFI 项目锁仓量榜首。

据 Big Data Protocol 官方群消息，2021年3月12日，区块高度达到 12022010 时 BDP 挖矿结束，用户 暂时无法正常提出挖矿资产。

https://cn.etherscan.com/tx/0x15aed01b104f06fa8876db2bd86894791bd0830a36fc28f1d7590ab8d77c3336

消息发出后，大量用户通过直接调用合约的方式 (emergencyWithdraw) 提取挖矿资产，但无法提取挖 矿所得的 BDP 奖励。

分析

当用户调用合约的withdraw函数领取奖励时，合约内会调用updatePool函数。

updatePool函数主要用于根据当前区块时间点，更新相关数据，并向质押功能合约铸币，用于奖励分发。

而提取失败的问题根源就在这个mint铸币函数中：

mint函数中会校验seedPoolAmount变量大于0，否则全部回滚。但由于seedPoolAmount的奖励在结 束挖矿之前已全部分发，所以用户调用合约时无法增发代币，交易直接 revert，导致提取奖励失败。

https://bloxy.info/tx/0x15aed01b104f06fa8876db2bd86894791bd0830a36fc28f1d7590ab8d77c3336

总结

通过对整个事件分析来看，本次事故并未造成用户的本金损失；主要原因在于对合约提现函数的依赖条件考虑不充分，项目上线时应当模拟合约的不同状态，进行充分测试验证。

建议

目前，由于提现失败造成社区的恐慌，大量用户通过合约的 emergencyWithdraw 函数提取本金；Big Data Protocol 官方也给出了相应的解决措施，更新前端UI便于用户提取挖矿资产，对于挖矿未提取的BDP，后续补发所欠奖励部分。

—-

编译者/作者：知道创宇区块链安

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。