比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > AVAX > Info

YFV勒索事件分析:DeFi需做好上線前的代碼審計工作_USHI

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的『pool0』事件相關,勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

AOFEX于9月9日上線XRT、CVP、YFV、JFI:據官方消息,AOFEX交易所于9月9日正式上線XRT、CVP、YFV、JFI并已開放充值,AQ及USDT交易區16:00開放XRT及CVP交易,17:00開放YFV及JFI交易。

XRT(Robonomics Network)是旨在創建機器人責任合同市場的開源協議;CVP(PowerPool)是為匯集治理代幣提供便捷解決方案的協議;YFV(YFValue)是分叉自YFI的 DeFi 收益聚合器和流動性挖礦平臺;JFI(JackPool)是JustSwap上的一鍵DeFi挖礦聚合協議。

AOFEX是數字貨幣金融衍生品交易所,旨在為用戶提供優質服務和資產安全保障。[2020/9/9]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

火幣全球觀察區上線 YFV和YAMV2:據官網公告,火幣全球站“全球觀察區”將于9月1日16:00 開放 YFV (YFValue) 幣幣交易,17:30 開放YAMV2 (YAMv2)幣幣交易。目前火幣已開放YFV和YAMV2的充幣業務。

據悉,火幣全球站為深入挖掘高潛項目,聚焦行業優質資源,在“主板”區域內全新設立“全球觀察區”,并引入單幣種持倉限額制度。[2020/9/1]

OKEx于9月1日上線SUSHI,YFV,CVP:據OKEx官方公告,OKEx將上線SUSHI, YFV, CVP,具體時間如下:

1.充值時間:香港時間9月1日 15:00。

2.交易時間:香港時間9月1日 18:00 開放SUSHI/USDT, YFV/USDT, CVP/USDT的市場交易;香港時間9月1日 19:00 開放SUSHI/ETH, YFV/ETH, CVP/ETH的市場交易。

3.提現時間:香港時間9月6日 17:00 SUSHI, YFV, CVP提現 。

由于SUSHI, YFV, CVP項目較新,價格波動較大,為了避免用戶非理性交易,降低用戶風險,每個用戶買入該代幣的限額為20000美金。[2020/9/1]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。

根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:CVPSTAUSHISTAKCVP幣BitStationUSHIBA幣Staking

AVAX
巴比特專欄 | 美國目前數字金融的緩慢發展狀態會持續多久?_數字金融

我在此前的一篇文章中提出,目前美國的數字金融發展的緩慢正在給瑞士提供發展的時間。瑞士的數字金融生態建設由于發展目標明確,執行策略正確和監管的支持,所以它的發展處在非常領先的地位.

1900/1/1 0:00:00
巴比特專欄 | 虛擬銀行在數字金融生態中的機會_BON

作者:谷燕西 現在在全球范圍內出現了一些虛擬銀行。這些虛擬銀行或是按照當地監管的要求,或是按照自己主動選擇的經營策略,它們不設立物理網點,只是采用技術手段來開展銀行業務.

1900/1/1 0:00:00
律師觀點:美國訴訟案例再次證明“不是你的私鑰,就不是你的代幣”_OIN

據Decrypto8月23日報道,加密律師賈斯汀·威爾斯在推特中概述了DarrellArcher訴訟Coinbase案件的最新分析.

1900/1/1 0:00:00
機構資本入場,但DeFi項目需要機構投資嗎?_比特幣

DeFi之火越燒越旺之時,幣市機構投資者帶著資金跑了過來。7月,先是出現了交易所背景的基金高調布局;8月,一些投資機構宣稱成立了專項基金投資、孵化DeFi.

1900/1/1 0:00:00
Filecoin最后沖刺 「中心化」疑慮未消_ECO

8月25日,Filecoin太空競賽啟動,全球約300名礦工參與角逐,目的是進行壓力測試并發現問題,同時爭奪官方提供的400萬枚FIL獎勵.

1900/1/1 0:00:00
巴比特首發 | 法治是區塊鏈企業最好的營商環境_OIN

中共中央局于2019年10月24日就區塊鏈技術發展現狀和趨勢進行第十八次集體學習。習近平總書記在主持學習時強調,區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用,要把區塊鏈作為核心.

1900/1/1 0:00:00
ads