IME:成都链安:YFV勒索事件始末分析_TIMESERIES价格

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。漏洞分析合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

去中心化交易协议Balancer宣布正式上线veBAL:3月28日消息,去中心化交易协议Balancer宣布已正式上线veBAL,BAL持有者可以其BAL锁定在veBAL中,协议产生的所有费用的75%按比例分配给veBAL持有者,预计许多基于Curveve系统构建的协议和产品也将在veBAL之上启动。

据悉,Ve(VoteEscrow)是在一段时间内锁定代币的机制。VE模型调整了用户的激励机制,并专注于协议的长期性能。(Meidum)[2022/3/29 14:23:26]

去中心化衍生品交易平台01与Wormhole合作为用户提供跨链存款服务:2月16日消息,基于Solana的去中心化衍生品交易平台01宣布与跨链协议Wormhole合作为用户提供跨链存款服务,01现已支持用户从以太坊区块链(使用Metamask或任何以太坊钱包)直接向其在01的保证金账户(在Solana上)进行跨链存款。[2022/2/16 9:54:59]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:

王川:DeFi是将席卷全球的去中心化的流动性黑洞:10月7日,独立投资人王川发文指出,DeFi是将席卷全球的去中心化的流动性黑洞,它将以开放,高效和透明的优点不断吸入一波又一波的新的流动性。如果既得利益者要忽视 DeFi 里面涌现的各种技术革新的话,台词和借口都有现成的:监管风险,智能合约风险,子跑路风险,等等。全球每天外汇交易额就有六万亿美元,是 uniswap 目前日交易量的两到三万倍,还有四个数量级的差距需要追赶,实在不入传统金融从业者的法眼。[2020/10/7]

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。总结

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:347ms