編者按:本文來自慢霧科技,Odaily星球日報授權轉載。前言
據鏈聞消息,DeFi項目YFValue發布公告稱,團隊于昨日在YFV質押池中發現一個漏洞,惡意參與者借此漏洞對質押中的YFV計時器單獨重置。目前已有一個惡意參與者正試圖借此勒索團隊。慢霧安全團隊對此進行了深入分析,以下是相關技術細節。細節分析
以上是YFValue的官方說明(來源:https://medium.com/),從聲明中我們可以得知是YFV抵押池出現了問題,惡意的用戶可重置YFV抵押者的計時器,對YFV的抵押者造成不便,但這并不會導致資金損失。通過登陸YFValue的官方網站,(https://yfv.finance/staking),可以發現在YFValue的體系中,用戶可通過質押相關的代幣獲取對應的獎勵,目前YFValue支持的質押代幣池有以下幾個:
中共中央、國務院:用好區塊鏈等技術成果 推動關鍵核心技術自主創新:中共中央辦公廳、國務院辦公廳印發《關于加快推進媒體深度融合發展的意見》。《意見》指出,要以先進技術引領驅動融合發展,用好5G、大數據、云計算、物聯網、區塊鏈、人工智能等信息技術革命成果,加強新技術在新聞傳播領域的前瞻性研究和應用,推動關鍵核心技術自主創新。(新華社)[2020/9/26]
可以看到,目前由于漏洞的原因,YFV的抵押池已經在UI界面關閉了抵押功能,但是合約上目前還沒關閉代幣抵押的功能,我們需要跟蹤代碼來分析具體的細節點。根據官網提供的Github地址,我們溯源到了相關的代碼倉庫(https://github.com/yfv-finance/audit),關于YFV抵押的相關邏輯在YFV_Stake.sol合約中,合約中關于抵押的函數有2個,分別是stake函數和stakeOnBehalf函數,以下是具體的代碼:
電視行業將運用區塊鏈等技術提升內容審核效率,實現在線安全智能審核:電視行業主管部門明確將優化業務審批流程和方式,進一步推進“互聯網+政務服務”,加快推進“不見面審批”,促進“線下辦”為主向“網上辦”“掌上辦”為主轉變,逐步實現重點電視劇、網絡影視劇等通過“線上+郵寄”辦理備案審批。進一步加強節目制作統籌管理,研究對突發事件等特殊題材電視劇審批的綠色通道,充分運用數字版權保護、區塊鏈、人工智能等技術,提升內容審核效率,實現在線安全智能審核。(人民日報)[2020/3/26]
通過代碼不難發現,無論是stake函數還是stakeOnBehalf函數,邏輯基本是一樣的,首先是校驗了抵押金額不能為0,接著分別調用上層的tokenStake和tokenStakeOnBehalf函數。緊接著更新用戶的抵押時間。只不過stakeOnBehalf函數可以用于為他人抵押。tokenStake和tokenStakeOnBehalf的代碼如下:
湖南婁底:利用區塊鏈技術打通中小企業資金“生命線:3月5日消息,湖南婁底積極推動區塊鏈場景應用,利用區塊鏈技術,打通中小企業資金“生命線”。由婁底市政府聯手德方智鏈科技(深圳)有限公司打造的鏈企銀中小企業融資平臺,為當前中小企業金融戰“疫”提供了有力支持。目前,已有2200多家婁底企業在該平臺在線注冊,其中,34家企業提出了貸款申請,金融機構已受理7筆,其余正在進行銀行審批等相關程序。[2020/3/8]
可以看到這里只是簡單的把對應的token用transferFrom的方式轉入到合約中,沒有什么特別的邏輯點。到這里整個抵押流程就很清晰了,接下來是收益的過程。計算用戶收益的是stakeReward函數,領取收益的為withdraw函數,代碼分別如下:
動態 | 同盾科技兩項技術方案獲得國家互聯網信息辦公室區塊鏈備案:近日,國家互聯網信息辦公室公布區塊鏈備案名單,同盾科技存證服務、同多方數據融合安全兩項技術方案成功獲得備案。(新眾網)[2019/11/17]
通過分析計算收益和領取收益的代碼,發現邏輯也很簡單,stake函數首先是通過updateReward修飾器更新了用戶的獎勵,然后使用getReward函數計算了用戶的獎勵,并把抵押時間設置成當前區塊時間。最后,用戶在提取獎勵的時候,withdraw函數會首先計算當前的區塊時間,再與unfrozenStakeTime函數中計算出的時間進行對比,只有當前區塊時間大于unfrozenStakeTime計算出的時間,才允許提現。unfrozenStakeTime的代碼如下:
從代碼中得知,unfrozenStakeTime是使用用戶的上次抵押時間加上FROZEN_STAKING_TIME常量得出鎖定時間,只要超過時間,就能通過withdraw函數提現收益。整個抵押和領取收益的簡化流程如下:
分析了一大堆,回到我們最初的問題,惡意的用戶是怎么鎖定其他用戶的資產的呢?回到用戶抵押的邏輯,可以發現抵押邏輯中的stakeOnBehalf函數本意是幫助進行抵押,但是這里有個問題,如果這個用戶先前已經有抵押了呢?那通過對已經抵押的用戶再次進行抵押,比方說抵押1個YFV,是不是就能以極低的成本重置已抵押的用戶的計時器,導致用戶在withdraw時無法成功調用。更進一步,假設YFV抵押用戶已經成功調用了stakeReward函數,在快要達到unfrozenStakeTime所規定的時間時,惡意的用戶可以通過stakeOnBehalf函數給這個用戶抵押少量資產,即可再次對抵押獎勵進行鎖定,理論上這樣往復循環,即可使用戶無法取出自己的資產,但這個問題并不會導致資金損失。攻擊流程如下:
前車之鑒
這是本月出現的第二個沒有經過審計的DeFi項目所暴露出的風險,根據YFValue的官方聲明(https://medium.com/),項目代碼是由富有經驗的開發者進行開發的,同時借鑒了其他成功的項目的代碼,但是仍無可避免的出現了風險。術業有專攻,安全審計一方面需要項目方的正向思維,另一方面,還是需要專業的安全團隊的逆向思維,從專業的黑客角度進行模擬對抗,發現問題。修復方案
通過分析代碼和漏洞細節,針對本次漏洞,修復方案也很簡單,只要在抵押的時候檢查用戶的抵押狀態是否為已經抵押,如果已經抵押,則不允許再次抵押。或者對每次的抵押進行單獨的處理,不能對先前的抵押狀態產生影響。
編者按:本文來自巴比特資訊,作者:Kyle,星球日報經授權發布。如果最近幾天ETH價格暴跌帶來了一件好事,那就是以太坊網絡的交易費用終于暴跌了.
1900/1/1 0:00:00不知道,大家是否還記得號稱本世紀拍賣界最大丑聞“蘇富比”事件?2016年,國際知名拍賣公司蘇富比被爆出,以850萬英鎊賣出的17世紀荷蘭畫家哈爾斯作品“1名未知的男子”竟然為贗品.
1900/1/1 0:00:00歐科云鏈集團在助力區塊鏈安全的舉措持續深化。8月28日,全球領先的區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:ANTóNIOMADEIRA,Odaily星球日報經授權轉載.
1900/1/1 0:00:00經歷數次跳票之后,8月25日早6點,獎勵高達410萬FIL的Filecoin激勵測試網終于啟動了。各大礦商礦工群也再度活躍,各礦商紛紛通過錄視頻、發快訊的方式表達“塵埃落定”的喜悅.
1900/1/1 0:00:00編者按:本文來自加密谷Live,作者:JoshuaTan,翻譯:李翰博,Odaily星球日報經授權轉載.
1900/1/1 0:00:00