安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_STAK

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

安全公司：目前SED項目資金池流動性幾乎為0，SED代幣失去價值:10月5日消息，NUMEN實驗室根據鏈上數據監測，發現SED項目發生跑路事件，項目方先用大量的SED代幣向池子進行兌換，換出一部分USDT，然后又移除了之前添加的流動性，目前資金池流動性幾乎為0，相應的SED代幣也失去了價值。

據悉，SED是異性社交平臺SexDao發行的Token，該項目創始人由于與Token2049 網紅小作文作者同名而在近期受到大量關注，目前官網和官方twitter已經無法訪問。[2022/10/5 18:40:09]

動態 | 安全公司發現新型門羅幣惡意挖礦軟件BlackSquid:據Zdnet消息，6月3日，安全公司Trend Micro發現新的惡意軟件BlackSquid，并稱其“十分危險”。該惡意軟件的目的是破壞網絡服務器、網絡驅動器和可移動存儲，以便在目標設備上安裝門羅幣挖礦腳本XMRig。[2019/6/4]

聲音 | PeckShield安全公司: EOS競猜游戲FFgame遭黑客攻擊 損失1,331個EOS:據PeckShield態勢感知平臺數據顯示：11月8日凌晨1點，EOS公鏈上又一款競猜類游戲FFgame遭遇了黑客攻擊，黑客賬戶jk2uslllkjfd向FFgame游戲合約 (eoswallet415）發起多達304次攻擊，共計獲利1,331.2922個EOS，隨后于1點36分將1,330個EOS轉移到火幣交易所。

PeckShield安全人員跟蹤發現，該黑客賬戶jk2uslllkjfd為PeckShield的重點監控黑名單賬戶，其創建于10月30日，曾于11月4日凌晨3點，攻擊過另一款EOS競猜類游戲EOSDice (eosbocai2222), 共獲利2,545.1135個EOS。這兩次攻擊都是通過寫合約代碼計算出游戲中獎規律實施攻擊，值得注意的是，該黑客習慣于凌晨實施攻擊，且每次攻擊完都會立刻修改攻擊合約，發送“hi”的垃圾數據用以掩飾攻擊信息。另外，攻擊所得EOS都是立刻轉移到火幣交易所。目前被攻擊 FFgame（eoswallet415）賬號余額里還有81.0105個EOS，并且攻擊后合約沒有更新，漏洞還未被修復。[2018/11/8]

Tags：EOSSTASTAKGAMEeos幣為什么漲不起來StarLaunchSTAKE價格ITAM Games

歐易交易所app下載