YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。?
漏洞分析
成都鏈安:ApolloX 項目方因簽名系統缺陷被攻擊,損失約160萬美元:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,ApolloX 項目遭受攻擊,根據成都鏈安技術團隊分析,發現ApolloX簽名系統存在缺陷,攻擊者利用簽名系統缺陷生成了255個簽名,總共從合約中提取了53,946,802$APX,價值約160萬美元,目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元,閃跌約60%。[2022/6/9 4:11:35]
合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
動態 | 成都鏈安:10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示,在過去一個月(10月)中,共發生5起較為典型的安全事件。其中包括:1.EOS鏈上本月內總共發生兩起攻擊事件:一是假EOS攻擊;二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊,并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金,并且殃及幣安。4.Cryptopia被盜資產開始轉移:一部分ETH流入知名DeFi借貸平臺Compound;另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢,Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識,重視各類型安全風險,必要時可尋求安全公司合作,通過第三方技術支持,排查安全漏洞,加固安全防線;各錢包項目應進一步做好安全方面的審查,有意識地增強項目系統架構的安全性,并建立完善的應急處理機制。如發生資產損失,可借助安全公司的幫助,進行資產溯源追蹤;用戶在進行投資行為時需謹慎,遠離資金盤,切勿刀口舔血。[2019/10/31]
此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes72小時。如下圖所示:
聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。
根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。
總結
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。
根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。
成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
Tags:EOSSTASTAKSINEOSJacksChain Estate DAOHyperStakeSint-Truidense Voetbalvereniging Fan Token
尊敬的ZT用戶: ZT上線首發的“紅包(HBB)”,今日起正式跨鏈EOS,并開啟EOS鏈HBB兌換。用戶可使用ETH公鏈上的HBB以1:1兌換的形式,將HBB資產轉移至EOS公鏈.
1900/1/1 0:00:00我是有道,潛心于K線形態的角度剖析趨勢,拒絕任何市場煙霧。用心寫每一篇文章,態度鮮明,力求準確可靠,歡迎長期訂閱和關注.
1900/1/1 0:00:00如今,萬物互聯已經不再是一個遙不可及的夢想,而是一個伸手似乎就能觸達的現實。物聯網設備的數量在這十年間實現了飛速的增長,增幅達到600%,達到126億個.
1900/1/1 0:00:005月6日“兩會”期間,中國人民銀行行長易綱在接受媒體采訪時罕見地回應了央行數字貨幣有關問題:“數字人民幣研發工作正在穩步進行,將會在深圳、蘇州、雄安、成都和未來的冬奧會場景進行測試”.
1900/1/1 0:00:00尊敬的TOKOK用戶: TOKOK將于開通以下交易: MKR/USDT 具體時間安排如下: 充值:2020/08/28?12:00專注于NFT的交易平臺交易基金Fount Token Econo.
1900/1/1 0:00:00ETH資金流: 行情回顧:ETH經過長時間的三角區震蕩,昨日午盤后因主力大量進場快速沖高,觸及410一線阻力后回落再次蓄勢,早間再次拉升試探410一線阻力,并未有效突破,目前在405附近修復.
1900/1/1 0:00:00