比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > XMR > Info

STAK:分析 | YFValue,一行代碼如何鎖定上億資產_STAKE

Author:

Time:1900/1/1 0:00:00

前言

據鏈聞消息,DeFi項目YFValue發布公告稱,團隊于昨日在YFV質押池中發現一個漏洞,惡意參與者借此漏洞對質押中的YFV計時器單獨重置。目前已有一個惡意參與者正試圖借此勒索團隊。慢霧安全團隊對此進行了深入分析,以下是相關技術細節。

細節分析

分析了一大堆,回到我們最初的問題,惡意的用戶是怎么鎖定其他用戶的資產的呢?

回到用戶抵押的邏輯,可以發現抵押邏輯中的stakeOnBehalf函數本意是幫助進行抵押,但是這里有個問題,如果這個用戶先前已經有抵押了呢?那通過對已經抵押的用戶再次進行抵押,比方說抵押1個YFV,是不是就能以極低的成本重置已抵押的用戶的計時器,導致用戶在withdraw時無法成功調用。更進一步,假設YFV抵押用戶已經成功調用了stakeReward函數,在快要達到unfrozenStakeTime所規定的時間時,惡意的用戶可以通過stakeOnBehalf函數給這個用戶抵押少量資產,即可再次對抵押獎勵進行鎖定,理論上這樣往復循環,即可使用戶無法取出自己的資產,但這個問題并不會導致資金損失。攻擊流程如下:

前車之鑒

這是本月出現的第二個沒有經過審計的DeFi項目所暴露出的風險,根據YFValue的官方聲明(https://medium.com/@yfv.finance/yfv-bringing-true-value-to-yield-farming-bddc4edf889a),項目代碼是由富有經驗的開發者進行開發的,同時借鑒了其他成功的項目的代碼,但是仍無可避免的出現了風險。術業有專攻,安全審計一方面需要項目方的正向思維,另一方面,還是需要專業的安全團隊的逆向思維,從專業的黑客角度進行模擬對抗,發現問題。

修復方案

通過分析代碼和漏洞細節,針對本次漏洞,修復方案也很簡單,只要在抵押的時候檢查用戶的抵押狀態是否為已經抵押,如果已經抵押,則不允許再次抵押。或者對每次的抵押進行單獨的處理,不能對先前的抵押狀態產生影響。

Tags:STAKSTASTAKETIMDayStarterASTAKEXTIME

XMR
BSN:BSN官方培訓:BSN公共城市節點網關解析_Fisco

隨著BSN官方培訓的有序開展,BSN團隊攜手聯盟成員單位、合作伙伴單位、合格開發者、以及開發者大賽獲獎者等,秉承互聯網精神,將自己的技術成果、應用方案、經驗心得等與大家無私分享.

1900/1/1 0:00:00
EFI:行業周報 | 三成投資者不懂DeFi,七百萬比特幣丟失,灰度周投資額達歷史之最_COIN

目錄: 行情概覽 加密貨幣市場 DeFi生態 行業聲音 區塊鏈產業賦能 行業軼事 行情概覽? 根據CoinGecko數據,截至2020年8月21日17時,加密貨幣市場總市值3801億美元.

1900/1/1 0:00:00
EFI:萬物皆可計算,從計算理論上解釋什么是DeFi_以太坊

從以太坊圖靈不完備談起。 萬物皆計算 最近DeFi大熱,可稱現象級,很多人從經濟學和互聯網應用?度談了不少,本文中我試著提供一種基于計算理論的不同解釋。以太坊作為第二代公鏈代表項目.

1900/1/1 0:00:00
數字貨幣:新浪財經意見領袖專欄:央行數字貨幣的潛在影響_APP

轉自: 新浪財經意見領袖 作者:李峰、胡浩 2020年4月,央行數字貨幣在工、農、中、建四大行內測的消息在網絡上不脛而走.

1900/1/1 0:00:00
AAVE:Aave總鎖倉量超過Maker,靠的是什么?_DeFi Coin

本文來自?Decrypt,原文作者:AlexanderBehrensOdaily星球日報譯者|念銀思唐 摘要: -Aave總鎖倉量在8月份增長了170%.

1900/1/1 0:00:00
區塊鏈:評價李笑來的看法,深入理解DeFi_ChargeDeFi Charge

首先聲明,李笑來先生的今天發的微博內容有很獨到的見解,也有認知的偏差。不管從哪個方面來說,如果能理解這個微博的全部內容并且能提出不同的觀點,將會大大增進我們對DeFid的洞察力.

1900/1/1 0:00:00
ads