YFV勒索事件分析：DeFi需做好上線前的代碼審計工作_TIME

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相關，勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

Poloniex交易所開放YFL和YFV的交易:加密貨幣交易所Poloniex宣布開放YFL（YF Link）和YFV（YFVault）的交易。YFL目前價格為1618.33美元，近24小時上漲約8%。YFV目前價格為58.84美元，近24小時下跌近22%。[2020/9/3]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

聚幣Jubi已于9月2日16:00上線YFV/USDT及YAMV2/USDT:據官方消息，聚幣Jubi已于2020年9月2日16:00（UTC+8）上線考察區幣種YFV及YAMV2，開放YFV /USDT及YAMV2/USDT交易市場。

YFV是YFValue協議的管理通證。該項目旨在通過其獨特功能包括供應通貨膨脹率的投票和自動轉介系統，為所有用戶提供真正的增產農業融資價值。

YAM的核心是一種彈性的供應加密貨幣，可根據市場情況擴展和收縮供應。yam.finance未來將完全由YAM持有者管理社區。YAM代幣是Yam 協議的核心，該代幣具有彈性供應的特點，供應量會根據市場情況增加或減少。YAMv2只做遷移使用，YAM用戶可以通過合約銷毀老的YAM幣而獲得新的YAMv2幣，兌換比例按原始數量計算，不受YAM的rebase影響。[2020/9/2]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：

DeFi 項目 YFValue 中有 1.7 億美元的資金存在被合約所有者鎖定的風險:推特用戶 dryrunner 發布評論警告用戶從 DeFi 項目 YFValue 中撤出資金，因為該協議中大約有 1.7 億美元的資金存在被合約所有者鎖定的風險。目前該項目除了可以挖 YFV 代幣之外，礦工還在挖掘 yfv 引入的另外兩個代幣，分別是 vETH 代幣和 vUSD 代幣。而這兩個代幣都有一個只有所有者可對其進行修改的鑄幣者集，一旦所有者從鑄幣者集中刪除該合約，所有有關提款、推出、質押和獲得獎勵的操作都有可能失效。這意味著，價值 1.70 億美元的資金有可能被單個以太坊合約所有者賬號 0x7be4d5a99c903c437ec77a20cb6d0688cbb73c7f 鎖定的風險。[2020/8/24]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：YAMSTASTAKTIMEYAMV2stars幣最新消息Stakd Financetime幣上交易所了嗎

火必交易所