STA:安全公司：YFV项目勒索事件的根本原因在于没有做好上线前的代码审计工作_Liquid Staking Derivative

今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes72小时。综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。成都链安认为，本次事件的根本原因在于，没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

安全公司：RariCapital被攻击是由于经典的重入漏洞:4月30日消息，BlockSec经过分析发现RariCapital被攻击是由于经典的重入漏洞。其函数exitMaket没有重入保护。攻击者通过攻击获利超过8000万美金。

据悉，Rari Capital在Fuse上的资金池遭遇黑客攻击，被盗资金约28,380 ETH，约合8034万美元。算法Stablecoin协议Fei Protocol表示，若攻击者归还被盗资金，则愿意为其提供1000万美元赏金。[2022/4/30 2:42:30]

安全公司：警惕针对数字货币交易所用户的鱼叉式钓鱼攻击:近日，慢雾安全团队收到情报，有专业黑产团队针对交易所用户进行大规模邮件批量撒网钓鱼攻击。慢雾安全团队分析发现，攻击者针对macOS/Windows系统都给出了下载链接，执行文件后会有一系列恶意操作，如上传本地系统用户信息、窃取Electrum钱包中的敏感信息等。

针对这类钓鱼攻击，慢雾安全团队建议：1）认清官方邮箱后缀；2）谨慎对待未知来源邮件里的链接与附件；3）怀疑一切以“升级”、“账号异常”等理由的邮件；4）对于需要处理但可疑的邮件内容，需及时咨询专业人员。详情见原文链接。[2020/6/10]

动态 | 币安与区块链安全公司CipherTrace合作，以应对监管方面投诉:据币安官方消息，币安与区块链安全公司CipherTrace合作，以期更好应对监管方面的投诉。[2019/4/12]

标签：STASTAKSTAKETIMStabinolLiquid Staking Derivativestake币前景time币今天价格

FTX热门资讯