成都鏈安：YFV勒索事件分析_KET

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。?

漏洞分析

成都鏈安：BasketDAO遭到攻擊，導致用戶損失約120萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，BasketDAO遭到攻擊，導致用戶損失約120萬美元。通過鏈必追產品進行追蹤分析，發現大部分被盜資金都被存入了 TornadoCash，以下為受害者地址：[2022/3/30 14:27:04]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

成都鏈安：正在追查Ronin攻擊事件的資金去向:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Axie Infinity側鏈Ronin遭到攻擊，17.36萬枚ETH和2550萬USDC被盜，總金額約合價值為6.15億美元。在這里，成都鏈安對此類跨鏈橋項目給出以下建議:

1.注意簽名服務器的安全性；

2.簽名服務在相關業務下線時，應及時更新策略，關閉對應的服務模塊，并且可以考慮棄用對應的簽名賬戶地址；

3.多簽驗證時，多簽服務之間應該邏輯隔離，獨立對簽名內容進行驗證，不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況；

4.項目方應實時監控項目資金異常情況。[2022/3/30 14:25:56]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。如下圖所示：

動態 | 成都鏈安再獲聯想創投、復星高科領投多輪數千萬元融資:區塊鏈安全公司成都鏈安科技有限公司繼2018年5月分布式資本種子輪投資，2018年11月界石資本、盤古創富天使輪投資后，近期連獲多輪融資，共計數千萬人民幣，由聯想創投、復星高科領投，成創投、任子行戰略投資，分布式資本、界石資本、盤古創富等老股東均跟投。

此次融資將用于持續深化區塊鏈全生態安全布局、研發“一站式”區塊鏈安全服務平臺、開展自主可控的區塊鏈安全技術研究、提升用戶全新體驗及全球化市場的拓展，助力成都鏈安成為全球區塊鏈安全領域的行業標桿。在當前區塊鏈新時代風口下，一方面成都鏈安將利用“一站式”區塊鏈安全平臺和服務，協助相關企業做好安全防護工作，提升安全防護能力，減少安全損失；另一方面將繼續大力協助政府監管機構做好調查取證等工作，以切實加強安全監管；同時多為行業發展發出正能量的聲音，帶頭建立起有序的行業規范，并促進安全標準建設。[2020/1/16]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易，如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：區塊鏈STAKETSTAK區塊鏈專業大學排名WSTA幣DMarketstake幣最新消息

Gate.io