成都鏈安：YFV勒索事件分析_STAK

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的“pool 0”事件相關，勒索者極有可能是在“pool 0”事件中未取回資金的“憤怒的農民”。?

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

成都鏈安：Wuliangye NFT項目疑似Rug Pull，共獲利70.5個ETH:8月11日，成都鏈安鷹眼監測顯示，Wuliangye NFT項目疑似Rug Pull，官網和社群已關閉。成都鏈安安全團隊通過鏈必追-虛擬貨幣智能研判平臺追蹤發現，有595個地址購買了705個WLY NFT，項目方共獲利70.5個ETH，接著將ETH交換為111316.22個USDT，最終轉入0x28C6c06298d514Db089934071355E5743bf21d60地址（標記為Binance 14）。[2022/8/11 12:18:18]

成都鏈安：fortress被盜金額已被轉換成1048eth并轉入了Tornado Cash:5月9日消息，據成都鏈安安全輿情監控數據顯示，fortress 遭受預言機價格操控攻擊，被盜金額已被轉換成1048eth并轉入了Tornado Cash。經成都鏈安技術團隊分析，本次攻擊原因是由于fortress項目的預言機FortressPriceOracle的數據源Chain合約的價格提交函數submit中，將價格提交者的權限驗證代碼注釋了，導致任何地址都可以提交價格數據。攻擊者利用這個漏洞，提交一個超大的FST價格，導致抵押品價值計算被操控，進而借貸出了項目中所有的代幣。

攻擊交易：0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

攻擊者地址：0xa6af2872176320015f8ddb2ba013b38cb35d22ad

攻擊者合約：0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

此函數中的 lastStakeTimes[stakeFor] = block.timestamp; 語句會更新用戶地址映射的laseStakeTimes[user]。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes[account]+72小時。如下圖所示：

成都鏈安CMO：交易所需建設一套完整的資金內控系統:3月11日晚8點，成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點：交易所需建設一套完整的資金內控系統，并對每筆資金的出入都應該做好審核和記錄。此外他還指出，關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司，由前海母基金，聯想創投，復星國際，分布式資本等知名企業和創投戰略投資，電子科技大學楊霞教授，郭文生教授，高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動，不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易，如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：STASTAKSTAKETIMstarlink幣最新消息stake幣前景stake幣圈TIMERS

XLM