比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

成都鏈安:YFV勒索事件始末分析_STA

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號:202009262149[2020/9/28]

分析 | 成都鏈安:盜竊Upbit交易所黑客開始測試向交易所充值:據成都鏈安反洗錢系統(Beosin-AML)監測顯示,Upbit攻擊者于28日下午17:08開始向0xf467816地址轉移60100ETH,并將少量ETH轉往可能隨機選取的中間地址。通過該地址,這筆小額ETH目前已經進入疑似火幣交易所錢包地址0x5401dbf7da53e1c9。目前攻擊者正在分散資金,且通過少量的ETH測試是否能夠成功進入交易所。[2019/11/28]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STASTAKWALCTSASTAX幣staking ETHtrustwallet安全嗎CTS幣

比特幣價格
將比特幣用作結算網絡中蘊含的經濟學知識_CFT

編者按:本文來自區塊鏈大本營,作者:SAIFEDEANAMMOUS,譯者:火火醬,Odaily星球日報經授權轉載。隨著比特幣的逐步普及,其交易費用也持續上漲,人們紛紛抱怨市場前景黯淡.

1900/1/1 0:00:00
DeFi生態演變:以太坊原創,波場、EOS山寨模仿?_比特幣

DeFi發展到現在,圈內外對它的態度產生了極其明顯的差別:一部分人認為現在的DeFi已經明顯過熱,甚至離崩盤都不遠了,而另一部分人的觀點則截然相反,認為這波熱潮才剛剛開始.

1900/1/1 0:00:00
DeFi啟動了年內第三波熱潮,百倍幣的項目應該具備哪些特質?_DEFI

如果大家對DeFi持續跟蹤的話,會發現這是DeFi今年的第三次爆發了。第一次由Compound、Bal領頭,向整個市場宣告著DeFi終于大成,能在去中心化市場獨擋一面.

1900/1/1 0:00:00
Sushiswap:Uniswap的進化?_USH

編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。在DeFi領域,DEX是第一大陣地。目前Uniswap、Balancer、Curve三駕馬車位居三甲,此外,還有十多個DEX日交易額也超.

1900/1/1 0:00:00
DeFi的樣子像極了08年_ANC

編者按:本文來自虛擬機,作者:RoyLi,星球日報經授權發布。0x00免費的ETH2020年的3.12幣難,各媒體都在瘋傳全網20億美金爆倉的新聞,然而在幣圈一個不溫不火的角落,MakerDAO.

1900/1/1 0:00:00
50萬美金一夢:比特幣到底被低估了多少?_PIN

編者按:本文來自威廉閑談,作者:陳威廉,Odaily星球日報經授權轉載。前天晚上美聯儲的“未來二十年大計”又點燃了海外HODL們抨擊美元的熱情。一句話解釋,在他們眼中,美元未來如廁紙.

1900/1/1 0:00:00
ads