以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

YFV勒索事件分析:DeFi需做好上線前的代碼審計工作_STA

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的『pool0』事件相關,勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

Gate.io完成YFV置換為VALUE代幣并上線VALUE交易:據官方公告,Gate.io已經完成將平臺用戶持倉YFV按照1:1比例置換為VALUE代幣,并已上線VALUE交易。請務必了留意市場行情變化,及時調整訂單。[2020/10/15]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

AOFEX于9月9日上線XRT、CVP、YFV、JFI:據官方消息,AOFEX交易所于9月9日正式上線XRT、CVP、YFV、JFI并已開放充值,AQ及USDT交易區16:00開放XRT及CVP交易,17:00開放YFV及JFI交易。

XRT(Robonomics Network)是旨在創建機器人責任合同市場的開源協議;CVP(PowerPool)是為匯集治理代幣提供便捷解決方案的協議;YFV(YFValue)是分叉自YFI的 DeFi 收益聚合器和流動性挖礦平臺;JFI(JackPool)是JustSwap上的一鍵DeFi挖礦聚合協議。

AOFEX是數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。[2020/9/9]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

SUSHI、YFV、UMA上線24H最高漲幅191.15%:據Gate.io行情顯示,新交易對SUSHI/ USDT、YFV/ USDT、UMA/ USDT昨日上線后幣價持續暴漲,其中SUSHI領漲新交易對,24H最高漲幅達191.15%,當前漲幅120.70%,當前報價2.982美元;YFV 24H最高漲幅127.5%,當前漲幅67.93%,當前報價47.24美元;UMA 24H最高漲幅78.57%,當前漲幅57.61%,當前報價16.55美元。詳情見原文鏈接。[2020/8/31]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。

根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STASTAKVALUETIMbitstamp交易所STAKDYFValueCyberTime Finance

以太坊最新價格
觀點 | 為什么說YAM是一個“中本聰方案”?_YAM

作者:Hasu 翻譯:lily 這些天,YAM讓我瞠目結舌。為什么大家這么關心它?YAM作為"公平挖礦、治理和彈性數量的實驗"推出,要求投資者在staking池中鎖定資本以賺取代幣,大部分代幣在.

1900/1/1 0:00:00
Coinbase公布上市DeFi代幣的四個關鍵要求_COI

加密貨幣交易所Coinbase本周公布了該交易所對上市DeFi代幣的四個關鍵要求。該交易所表示,為了保護用戶Coinbase會對每個代幣進行徹底的安全審查,然后才會在交易所上市.

1900/1/1 0:00:00
保險是下一個DeFi熱點?yearn宣布推出去中心化保險服務yinsure,YFI大漲超40%_USD

yearn創始人AndreCronje今日發文宣布推出去中心化的保險類服務原型yinsure.finance,將于接下來的幾周里系統性地發布產品.

1900/1/1 0:00:00
ETC在8月遭遇了三次51%攻擊,將探討更改挖礦算法_ETC

這是本月第三次了,同樣是Bitfly發現了問題。8月30日,Bitfly官方推特表示,當天ETC又遭遇了一次大規模51%攻擊,導致7000多個區塊發生重組,相當于大約2天的開采量.

1900/1/1 0:00:00
觀察 | 影響未來金融市場的三大DeFi項目_穩定幣

作者:Quantstamp 翻譯:Olivia DeFi應用依舊積極推動金融的自動化和去中心化發展.

1900/1/1 0:00:00
科普 | Polkado初識,不止于跨鏈_DOT

此文是Polkadot系列文章開篇之作,通過介紹Polkadot的角色、架構和交易流程來讓大家對Polkadot有個初步的認識.

1900/1/1 0:00:00
ads