比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

成都鏈安:YFV勒索事件分析_STA

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool 0”事件相關,勒索者極有可能是在“pool 0”事件中未取回資金的“憤怒的農民”。?

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

成都鏈安:Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示,Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。針對這兩個問題,成都鏈安在此建議項目方應做好下面兩方面:1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

成都鏈安:8ight Finance項目疑似私鑰泄露,資金總損失接近100萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,8ight Finance項目方疑似私鑰泄露導致被攻擊,資金已從tornado轉移出去,資金總損失:868587 DAI,123621 1USDT,10843 EIGHT,80 ONE.[2021/12/8 12:58:37]

此函數中的 lastStakeTimes[stakeFor] = block.timestamp; 語句會更新用戶地址映射的laseStakeTimes[user]。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes[account]+72小時。如下圖所示:

成都鏈安CMO:交易所需建設一套完整的資金內控系統:3月11日晚8點,成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點:交易所需建設一套完整的資金內控系統,并對每筆資金的出入都應該做好審核和記錄。此外他還指出,關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司,由前海母基金,聯想創投,復星國際,分布式資本等知名企業和創投戰略投資,電子科技大學楊霞教授,郭文生教授,高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。

根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STASTAKSTAKENANSTATICpSTAKE Staked BNBASTAKE幣CafeSwap Finance

以太坊價格今日行情
金色前哨丨YAM持有者抓緊遷移至YAMv2了 截止時間8月23日0:20

有YAM代幣的Farmer要抓緊時間兌換YAMv2了。Yam Finance在推特表示,YAMv1需要在UTC時間8月22日4:20PM(北京時間8月23日0:20)之前遷移至YAMv2合約.

1900/1/1 0:00:00
火幣研習社首席分析師kinG:比特幣減半之后都開啟一輪歷史性的牛市_區塊鏈

BTC有效突破12000整數關口。縱觀歷史行情每次比特幣減半之后都開啟一輪歷史性的牛市。 火幣研究院高級分析師:主體信用良好的國家推行法定CBDC更易獲得認可:火幣研究院高級分析師查爾斯表示,全.

1900/1/1 0:00:00
8.15早間行情:BTC接力行情 注意宏觀層面的大事件_比特幣

昨晚比特幣再度向上發起沖擊,一度突破了11800美元最高到達11850美元,而后回落至11700—11800之間震蕩,像我們昨日下午說的,整體還是保持震蕩,強勢一些也是偏震蕩上行一點.

1900/1/1 0:00:00
SUSHI用YAM的挖礦模式17小時吸引3.5億美金_USH

今天分享一下這兩天最熱的壽司,簡單理解 SUSHI = YAM + YFI + FCoin + uniswap。MINISWAP = Fcoin + uniswap.

1900/1/1 0:00:00
區塊鏈重構公共資源交易信任體系 專家表示將提高政府社會服務效率_數字人

近日,2020公共資源交易區塊鏈研討會暨應用成果發布會在廣州舉行。本次大會上,主辦單位可信區塊鏈推進計劃正式發布了《公共資源交易區塊鏈應用白皮書(2020)》(下稱“白皮書”).

1900/1/1 0:00:00
金色前哨 | SushiSwap完成審計 最大風險是管理員權限不受社區治理權約束_USH

近幾天,以太坊上最火的流動性挖礦DeFi項目一定是SushiSwap。借助于向流動性提供者分發代幣SUSHI的激勵機制,大批流動性提供者把Uniswap LP代幣抵押至SushiSwap,短短時.

1900/1/1 0:00:00
ads