安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_BLO

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

OneKey已修復安全公司Unciphered披露的潛在漏洞:據官方消息，今年早些時候，OneKey在收到網絡安全初創公司Unciphered的披露后，迅速修復了一個潛在漏洞，沒有任何用戶受到到任何損失。這個潛在漏洞需要本地物理拆解、修改電路，并使用專業FPGA設備方可嘗試，無法遠程實施。OneKey安全團隊表示，雖然事小，依然會嚴肅對待，不放過任何潛在風險。

據悉，OneKey每年會定期發布若干安全固件，持續加固硬件錢包，并保持開源透明，與行業頂尖白帽工程師合作，為用戶提供最高水準的安全軟硬件服務。[2023/2/11 12:00:27]

區塊鏈安全公司GK8將為Stellar網絡提供托管和代幣化服務:金色財經報道，區塊鏈安全公司GK8宣布與Stellar建立托管伙伴關系，將為Stellar Lumen網絡提供托管和代幣化服務。通過與Stellar集成，GK8的客戶可以在托管環境中訪問XLM投資。GK8表示，其基礎設施消除了網絡攻擊的風險，同時還提供了可擴展的高頻交易。[2021/9/7 23:05:00]

加密安全公司Fireblocks增加質押功能:加密安全公司Fireblocks與基礎設施提供商Staked和Blockdaemon合作，為其平臺增加了質押功能，并初步支持Ethereum 2.0 (Eth2)、Polkadot (DOT)和Tezos (XTZ) 。Fireblocks表示，其超過165個機構客戶現在將能夠獲得5％至15％的質押獎勵。（TheBlockCrypto）[2021/1/14 16:11:34]

Tags：STASTAKBLOLOCKOuro StablecoinStakearnNPICK BLOCKBlockMedal Token

以太坊價格