月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 酷币 > 正文

区块链:成都链安:YFV勒索事件始末分析_Ethereum Stake Finance

作者:

时间:1900/1/1 0:00:00

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。漏洞分析合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

成都链安:BasketDAO遭到攻击,导致用户损失约120万美元:据成都链安链必应-区块链安全态势感知平台舆情监测显示,BasketDAO遭到攻击,导致用户损失约120万美元。通过链必追产品进行追踪分析,发现大部分被盗资金都被存入了 TornadoCash,以下为受害者地址:[2022/3/30 14:27:04]

动态 | 成都链安再获联想创投、复星高科领投多轮数千万元融资:区块链安全公司成都链安科技有限公司继2018年5月分布式资本种子轮投资,2018年11月界石资本、盘古创富天使轮投资后,近期连获多轮融资,共计数千万人民币,由联想创投、复星高科领投,成创投、任子行战略投资,分布式资本、界石资本、盘古创富等老股东均跟投。

此次融资将用于持续深化区块链全生态安全布局、研发“一站式”区块链安全服务平台、开展自主可控的区块链安全技术研究、提升用户全新体验及全球化市场的拓展,助力成都链安成为全球区块链安全领域的行业标杆。在当前区块链新时代风口下,一方面成都链安将利用“一站式”区块链安全平台和服务,协助相关企业做好安全防护工作,提升安全防护能力,减少安全损失;另一方面将继续大力协助政府监管机构做好调查取证等工作,以切实加强安全监管;同时多为行业发展发出正能量的声音,带头建立起有序的行业规范,并促进安全标准建设。[2020/1/16]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:

分析 | 成都链安:盗窃Upbit交易所黑客开始测试向交易所充值:据成都链安反系统(Beosin-AML)监测显示,Upbit攻击者于28日下午17:08开始向0xf467816地址转移60100ETH,并将少量ETH转往可能随机选取的中间地址。通过该地址,这笔小额ETH目前已经进入疑似火币交易所钱包地址0x5401dbf7da53e1c9。目前攻击者正在分散资金,且通过少量的ETH测试是否能够成功进入交易所。[2019/11/28]

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。总结

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

标签:区块链STAKETSTAK区块链最新局曝光Wrapped StarKETCHUPEthereum Stake Finance

酷币热门资讯
区块链:迎接物联网时代,区块链大有可为_CAR

当代著名思想家、华盛顿特区经济趋势基金会主席杰里米·里夫金在其著作《零成本社会》里介绍,随着微电子、新材料、3D打印、电能存储等新技术的不断发展应用,物联网从幕后走向台前.

1900/1/1 0:00:00
BAN:高热度下隐忧仍存?杠杆基金再泼市场冷水_Headbangers Club

编者按:本文来自链闻ChainNews,星球日报经授权发布。8月22日,CFTC公布了最新一期的CME比特币期货周报,最新统计周期前半段时间BTC走出了一波快速反弹,不过在统计周期收尾阶段行情快.

1900/1/1 0:00:00
YAM:拯救行动失败,YAM崩塌,项目方宣布失败_Yamanote-Sen

编者按:本文来自巴比特资讯,作者:Kyle,星球日报经授权发布。根据最新消息,在尝试一系列拯救之后,YAM项目核心开发者belmore最终还是宣布拯救失败.

1900/1/1 0:00:00
NEAR:Deribit期权市场播报:0821 — 平稳交割_Stader

今天是周期权交割日,行情十分平稳。今年的市场风格是在交割期间会越发平稳,交易量下降并集中在卖看涨期权。以太连续第三天Call成交占比奇高,可能是市场上现货和期货多单的持有量比较高.

1900/1/1 0:00:00
EFI:DeFi会“倒逼”以太坊加速寻找扩展解决方案吗?_DeFi Yield Protocol

编者按:本文来自金色财经,Odaily星球日报经授权转载。今年以来,以太坊网络的日均活动地址和日均交易量都一直呈现出稳定增长趋势,并飙升到了此前2017-2018牛市期间的水平,这表明越来越多的.

1900/1/1 0:00:00
比特币:威廉:请爱护老韭菜,在这个市场能活下来多年的都不是平常人_PINETWORKDEFI价格

编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。这两天各路段子和各路流传的截图都在嘲讽老韭菜,老韭菜真的是很不容易.

1900/1/1 0:00:00