成都链安:YFV勒索事件分析

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。 

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

Ripple将投资1亿美元用于碳减排技术以及相关工具开发:5月19日消息,Ripple宣布计划投资1亿美元用于专注于气候的金融技术和碳减排技术,以实现碳市场的现代化。这笔资金还将继续支持研发新功能和开发工具,例如实现碳信用代币化,使其成为基于XRPL的NFT。(Forkast)[2022/5/19 3:28:33]

此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示:

数据:拥有1万枚以上比特币的钱包数量创2020年新高:Santiment 数据显示,拥有10000枚以上比特币的钱包数量创2020年新高,达到111个,这显示了加密鲸鱼用户对他们的比特币存储抱有信心。此外,目前持有1000 - 9999枚比特币的钱包略低于持有2135个比特币的历史高点。[2020/11/12 14:08:02]

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

瑞波币2020年币圈下半场投资主题:公链的桥化和侧链化趋势

以太坊杀手的峰回路转,是我万万没有想到的。 在币圈,捧和踩之间的界限没有那么分明。半年前我们有多么信誓旦旦的给以太坊杀手们判死刑,如今我们就要重新热烈的追捧起这些公链。 以太坊杀手们并没有死掉,新公链的出路在哪里? 答案就是不要成为以太坊的敌人,而是去成为以太坊的朋友。

DOGESUSHI用YAM的挖矿模式17小时吸引3.5亿美金

今天分享一下这两天最热的寿司,简单理解 SUSHI = YAM + YFI + FCoin + uniswap。 MINISWAP = Fcoin + uniswap。 FCoin 已经成为过去,Fcoin 的挖矿及分红模式还在继续,正在 DEX 中继续上演,谁能演的更好呢?SUSHISWAP or  MINISWAP。

NEAR8.25晚间行情:高抛低吸 你踩准节奏了吗

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。 BTC 和主流币昨天用缓涨的方式到达阴线起跌点 11820 附近,该下跌平台存在套牢筹码,昨晚和今早我连续提示做空机会,今天走势如期下跌。

XRPYam Finance是怎么回事?

有一些去中心化金融项目可以提供闪电贷款。 Yam Finance(YAM)是一个DeFi项目,只是昙花一现。 YAM最初被描述为“最小可行的货币实验”,8月11日高调推出,在不到两天的时间里,其市值从零飙升至5700万美元。但是在周三晚些时候,该公司宣布在rebasing合约中发现了一个错误,到周四,其市值跌至零。

[0:15ms0-0:484ms