月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 中币 > 正文

EOS:成都链安:YFV勒索事件分析_GastroAdvisor

作者:

时间:1900/1/1 0:00:00

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。?

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

成都链安:bDollar项目遭受价格操控攻击,目前攻击者获利2381BNB存放于攻击合约中:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,bDollar项目遭受价格操控攻击。攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻击交易eth:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a

目前攻击者获利2381BNB,存放于攻击合约中。[2022/5/21 3:32:53]

成都链安:Visor Finance遭受攻击事件分析:据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:

1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;?

“一站式”安全平台主要包括:支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS;Beosin-IDE智能合约开发工具;Beosin-Eagle Eye安全态势感知系统;Beosin-Firewall防火墙;Beosin-OSINT 威胁情报系统;安全审计与检测;安全顾问等服务。

?

成都链安作为最早专门从事区块链安全的公司之一,核心团队在安全领域深耕18年,申请区块链安全相关软件发明专利和著作权15项。平台推出以来,已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

标签:EOSSINVisor区块链IEOs WinMARSINUGastroAdvisor区块链存证平台法院

中币热门资讯
区块链:8.28 午间行情:上冲遇阻但资金并未退缩_加密货币

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00
金色前哨丨YAM持有者抓紧迁移至YAMv2了 截止时间8月23日0:20

有YAM代币的Farmer要抓紧时间兑换YAMv2了。Yam Finance在推特表示,YAMv1需要在UTC时间8月22日4:20PM(北京时间8月23日0:20)之前迁移至YAMv2合约.

1900/1/1 0:00:00
AMM:一文读懂采用vAMM的Perpetual协议 DeFi衍生品将是下一个引爆点_TUA

在DeFi领域中,自动化做市商(AMM)被用于描述一种协议或应用,其利用数学函数来确定资产的价格,并促进两种或多种资产的交换.

1900/1/1 0:00:00
区块链:金色前哨 | 9·4三周年 回顾国内区块链及加密货币政策_区块链怎么入手

金色财经讯,2020年9月4日,币圈“9·4事件”迎来3周年。2017年9月4日,中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会等七部门联合发布《关于防范代币发行融资.

1900/1/1 0:00:00
区块链:跨链 6个核心接口就够了_SWAP

作为跨链交互的基础,接口(API)是跨链平台中重要一环。目前各大区块链平台提供了丰富的接口,这些接口是否都要在跨链平台中重新实现?为了实现普适通用的跨链平台,如何确定接口设计基调?为了满足复杂多.

1900/1/1 0:00:00
SWAP:SushiSwap迁移在即 Uniswap V3升级推进 DEX大战一触激发_USH

律动BlockBeats 消息,近期新协议 SushiSwap 发展态势迅猛,截止发稿时其锁仓量已突破 10 亿美元,占 Uniswap14 亿锁仓量的 70%.

1900/1/1 0:00:00