比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

STA:成都鏈安:YFV勒索事件分析_STAK價格

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。?

漏洞分析

成都鏈安:Wuliangye NFT項目疑似Rug Pull,共獲利70.5個ETH:8月11日,成都鏈安鷹眼監測顯示,Wuliangye NFT項目疑似Rug Pull,官網和社群已關閉。成都鏈安安全團隊通過鏈必追-虛擬貨幣智能研判平臺追蹤發現,有595個地址購買了705個WLY NFT,項目方共獲利70.5個ETH,接著將ETH交換為111316.22個USDT,最終轉入0x28C6c06298d514Db089934071355E5743bf21d60地址(標記為Binance 14)。[2022/8/11 12:18:18]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

成都鏈安:WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析,分析結果如下:攻擊者通過閃電貸借貸了2900個BNB,從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣,然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數,將交易對中多余的WDOGE代幣重新提取出來,由于代幣的通縮性質,在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞,攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來,并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中,攻擊者利用了代幣的通縮性質,讓交易對在skim的過程中burn掉了一部分交易對代幣,破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計,通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes72小時。如下圖所示:

成都鏈安CMO:交易所需建設一套完整的資金內控系統:3月11日晚8點,成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點:交易所需建設一套完整的資金內控系統,并對每筆資金的出入都應該做好審核和記錄。此外他還指出,關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司,由前海母基金,聯想創投,復星國際,分布式資本等知名企業和創投戰略投資,電子科技大學楊霞教授,郭文生教授,高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。

根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STADOGDOGESTAKSTATSGloryDogePOLYDOGESTAK價格

幣安app官方下載最新版
EOS:去中心化拍賣工具 bounce.finance 調整代幣分配模型,BOT 總量自 50 萬削減至 22 萬_BusinessmanToken

鏈聞消息,去中心化拍賣工具bounce.finance發布公告稱將調整代幣分配模型,治理代幣BOT的總供應量由50萬削減至22萬,調整過后的22萬枚代幣被分為四部分,其中每日獎勵占10萬枚.

1900/1/1 0:00:00
HOT:Hotbit 定于8月27日上線 YFIE_YFIEC

尊敬的用戶: Hotbit即將上線YFIE項目,并開放YFIE/BTC、YFIE/USDT、YFIE/ETH交易對.

1900/1/1 0:00:00
MEX:關于強平機制優化調整公告_mex幣簡介

尊敬的用戶:為提供更好的交易體驗,避免用戶因強平損失所有倉位,BMEX將于2020年8月26日優化階梯強平機制.

1900/1/1 0:00:00
BIO:BiONE交易所關于ADA錢包升級完畢,更換充值地址的公告_CDbio

尊敬的BiONE用戶: ADA錢包升級,預計8月26日恢復充提幣。為確保升級后您的資金安全,此次升級以后ADA幣的充值地址將會更新.

1900/1/1 0:00:00
以太坊:波卡會超過以太坊嗎?_區塊鏈存證證件

錯過了LINK、DeFi和以太坊,你還要錯過波卡嗎??在過去的一周內,波卡代幣DOT漲了超過一倍。波卡總市值達到了54億美元,接連超車EOS、BCH、LINK等幣,來到第6的位置.

1900/1/1 0:00:00
TOKE:BZEX.CO關于聚變交易優化升級為永動交易的公告_TOKE.N

尊敬的用戶: 平臺通過對多種交易模式的深入分析,以及根據持續運行半年的聚變交易的特點,經過兩個月的反復論證,集合業界頂尖的算法師和開發團隊,研發出最具創新的交易模式——永動交易.

1900/1/1 0:00:00
ads