YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的“pool 0”事件相關,勒索者極有可能是在“pool 0”事件中未取回資金的“憤怒的農民”。?
合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
成都鏈安:fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息,據成都鏈安安全輿情監控數據顯示,fortress 遭受預言機價格操控攻擊,被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析,本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中,將價格提交者的權限驗證代碼注釋了,導致任何地址都可以提交價格數據。攻擊者利用這個漏洞,提交一個超大的FST價格,導致抵押品價值計算被操控,進而借貸出了項目中所有的代幣。
攻擊交易:0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf
攻擊者地址:0xa6af2872176320015f8ddb2ba013b38cb35d22ad
攻擊者合約:0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]
成都鏈安:WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析,分析結果如下:攻擊者通過閃電貸借貸了2900個BNB,從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣,然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數,將交易對中多余的WDOGE代幣重新提取出來,由于代幣的通縮性質,在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞,攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來,并且將獲利的78個BNB轉到了獲利地址。
這次攻擊事件中,攻擊者利用了代幣的通縮性質,讓交易對在skim的過程中burn掉了一部分交易對代幣,破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計,通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]
此函數中的 lastStakeTimes[stakeFor] = block.timestamp; 語句會更新用戶地址映射的laseStakeTimes[user]。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes[account]+72小時。如下圖所示:
動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商(VASP)監測交易風險、執行反洗錢合規程序,幫助監管部門監督VASP合規流程執行情況,幫助執法部門快速收集虛擬資產犯罪案件證據,為受害者提供技術協助,成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務,受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后,可在網站提交相關信息,平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統,采集鏈上交易數據,分析加密貨幣犯罪和安全事件,結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。
根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。
根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。
成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
Tags:STASTAKDOGSTAKEstarl幣有可能漲1000倍嗎HyperStakeaidoge幣最新消息熱議xSTAKE.Finance
“礦機全部賣光了,我們下半年可以休息了。”“我這有5000萬,誰有貨馬上付錢!”吳說區塊鏈從多個渠道獲悉,神馬、嘉楠、億邦等主流礦機廠商今年現貨、期貨乃至絕大多數庫存都已售罄.
1900/1/1 0:00:00Tokenview密切觀察鏈上數據,我們發現近期以太坊鏈上數據表現“異常”活躍。 數據來源:https://eth.tokenview.com/cn/chart/dailyTxFeeUsd數據:.
1900/1/1 0:00:00今日,Zeus Capital發布一篇做空LINK的文章,稱LINK生態是荷蘭郁金香泡沫的現代版本.
1900/1/1 0:00:00金色財經訊,隨著DEX和DeFi項目的快速發展,8月份DEX的交易額已經超過110億美元,DeFi協議鎖倉價值突破100億美元,受此影響,以太坊上交易手續費持續攀升.
1900/1/1 0:00:00到藍狐筆記寫稿時,Curve的鎖定資產量達到12.4億美元,整個DeFi領域是78.2億美元,Curve占據15.8%左右的比例.
1900/1/1 0:00:00金色財經 區塊鏈9月2日訊 針對熱門去中心化金融協議Sushiswap智能合約的一項分析顯示,有多達2700萬美元的原生代幣存入了協議管理員的錢包之中,如果不做警告的話.
1900/1/1 0:00:00