月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 瑞波币 > 正文

ALL:成都链安:YFV勒索事件分析_time币上交易所了吗

作者:

时间:1900/1/1 0:00:00

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。?

漏洞分析

成都链安:Wuliangye NFT项目疑似Rug Pull,共获利70.5个ETH:8月11日,成都链安鹰眼监测显示,Wuliangye NFT项目疑似Rug Pull,官网和社群已关闭。成都链安安全团队通过链必追-虚拟货币智能研判平台追踪发现,有595个地址购买了705个WLY NFT,项目方共获利70.5个ETH,接着将ETH交换为111316.22个USDT,最终转入0x28C6c06298d514Db089934071355E5743bf21d60地址(标记为Binance 14)。[2022/8/11 12:18:18]

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

成都链安:Li.Finance遭受攻击事件分析:金色财经消息,据成都链安链必应-区块链安全态势感知平台舆情监测显示,DEX聚合协议Li.Finance遭黑客攻击损失约60万美元,关于本次攻击,成都链安团队第一时间进行了分析发现:被攻击合约中的swapAndStartBridgeTokensViaCBridge函数中存在call注入攻击,可通过构造恶意的数据(_swapData)控制call调用的参数。在本次攻击事件中,攻击者恶意构建callTo地址为对应的代币合约地址,并调用代币合约的transferFrom函数转走受害地址的代币。[2022/3/21 14:08:55]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes72小时。如下图所示:

分析 | 成都链安:钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事,成都链安在接受金色财经采访时指出:“safuwallet是第三方extension插件钱包,用户资产被盗,主要原因还是私钥被盗,发生了这样的问题,对于钱包服务器而言只要不存储用户的私钥,只做相关交易数据的处理的话,两者之间就没有关系,如果服务器存储了用户的私钥,那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码,黑客可能先将恶意代码注入到safuwallet中,然后引诱受害者安装钱包,再获取到受害者的私钥后,进行相关代币的转移。事实上,对于非官方钱包,安全性确实不太好保障。对于此类钱包,私钥被盗的时间时有发生。对于这个事件,后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

总结

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

标签:ALLSTASTAKTIMBALLS币STACK币pstake币价格time币上交易所了吗

瑞波币热门资讯
GLO:【全球首发】开启GLOBRIDGE Project (PICK)交易 / 2020.8.25_Bithumb

亲爱的BithumbGlobal用户:BithumbGlobal将在创新板上线PICK数字资产服务.

1900/1/1 0:00:00
SOL:【活动】CREDIT挖矿产品 正式上线_New Paradigm Assets Solution

亲爱的BithumbGlobal用户:BithumbGlobal将于8月25日15:00在「BGStaking」上线CREDIT挖矿产品.

1900/1/1 0:00:00
区块链:晚间必读5篇 | 七夕这个早晨 全都用来挖Filecoin了_EnterDAO

1,DeFi会“倒逼”以太坊加速寻找扩展解决方案吗?今年以来,以太坊网络的日均活动地址和日均交易量都一直呈现出稳定增长趋势,并飙升到了此前2017-2018牛市期间的水平.

1900/1/1 0:00:00
以太坊:内幕Forsage智能合约优势解析?制度怎么样?_TERRAFORM价格

是的,你没看错,这个标题一点也没有夸大其词,甚至略显谦虚。在区块链的时代,你只需要一个机会,用一年时间就可以赚到别人正常工作100年的收入,然后开始退休,剩下99年你可能会彻底沦为不再为钱劳动的.

1900/1/1 0:00:00
FIL:金色前哨|Filecoin太空竞赛已开启_file币最新消息

金色财经报道,北京时间8月25日6:00左右,Filecoin正式开启了测试网奖励计划太空竞赛,该竞赛中.

1900/1/1 0:00:00
TTT:【交易对开放】开放TTT/ETH交易对的公告_INE

亲爱的用户:自TheTransferToken(TTT)上线以来,得到了广大用户的支持。为了提升用户的交易体验,DigiFinex将增设TTT/ETH交易对,并于2020年08月31日15:00.

1900/1/1 0:00:00