成都链安:YFV勒索事件分析

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。 

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示:

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链杂谈

Filecoin灰度:目前市场与2016年初BTC牛市之前的结构相似

加密货币基金管理公司灰度投资的一份新报告认为,目前的比特币市场结构“与2016年初开始历史性牛市之前的结构相似。” 灰度预测,随着通胀加速,比特币的需求将大幅增长,这突显出对一种稀缺货币商品的需求,从而支撑着比特币的使用案例。 这份报告指出,在交易所持有的比特币数量处于历史最低水平之际,人们对加密的兴趣日益浓厚,长期持有比特币多于短期投机。

瑞波币「红薯」滞销 Yam重辟试验田

经历一场极速过山车后,以「红薯」形象风靡币圈的DeFi协议Yam Finance(下称Yam)开启了重启计划。 8月23日,Yam宣布完成第一阶段的规划:持币用户销毁手中的YAMv1代币并铸造成新的YAMv2代币,以避免v1代币超速增发的问题。此外,Yam将发起社区提案和投票,项目由社区全权治理。

SHIB摩根溪创始人:每个养老金系统都应配置总资产1.5%的比特币

比特币和标准普尔500指数在3月的危机之后经历了短暂的关联,传统金融市场和加密货币市场均跌至创纪录的历史低位。 但是,随着加密资产的普及率开始飙升,相关性开始消失,因为散户和机构投资者都开始,将资金从因美联储滥发美元而导致的恶性通货膨胀风险中转移出去。

[0:0ms0-0:515ms