YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的『pool0』事件相关,勒索者极有可能是在『pool0』事件中未取回资金的『愤怒的农民』。
火币将于9月9日上线YFII、SUSHI、YFV、PEARL、GXC和TRB永续合约:据火币合约官方公告,火币合约将于新加坡时间9月9日16点上线YFII(DFI.Money)、SUSHI(Sushi)、YFV(YFValue)、PEARL(Pearl)、GXC(GXChain)和TRB(Tellor)永续合约,13点开启资金划转,16点正式交易,支持1x-75x倍数。
此前,火币永续合约已涵盖BTC、ETH、LINK、CRV等在内的四十九大主流热门币种。据悉,新上线的六大热门币种永续合约均无交割日期,合约面值均为10美元/张,合约标的均为其对应数字资产的现货美元指数,且每8小时结算一次,结算时间戳分别为4:00、12:00和20:00(GMT+8),用户已实现盈利在结算后可立即提取。详情请查看火币合约官网公告。[2020/9/8]
漏洞分析
Asproex(阿波罗)将于9月8日上线DeFi热门币种YFV、UMA、BAND、REN:据官方消息,Asproex(阿波罗)将于2020年9月8日正式上线DeFi热门币种YFV、UMA、BAND、REN? ,并于当日开通YFV/USDT、UMA/USDT、BAND/USDT、REN/USDT交易对。开放充提时间:9月8日16:00;开放交易时间:9月8日18:00。2020年,DeFi流动性挖矿盛行,Asproex(阿波罗)已率先切入“DeFi”生态赛道,后续将为用户甄选更优质的DeFi项目,让用户安全快捷参与DeFi浪潮。
Asproex(阿波罗)作为首家离岸银行控股持牌交易平台,也是一家涵盖CTO企业通证上市的交易平台,持有5国牌照,为全球中小微企业提供融资难的解决方案,助力数字化上市。[2020/9/7]
合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
Yfv Finance宣布完成YFV协议的审计工作:未发现关键性问题:Yfv Finance宣布,The Arcadia Group已在预计时间内完成了YFV协议的审计工作。审计由Arcadia的工程师Minh Khai Do进行,总结由Rasikh Morani和Joel Farris进行。评估确定了与代码质量和健康状况相关的少量低严重性问题。没有发现高严重性或关键性问题。
8月25日消息,yfv Finance团队发布公告称,团队于昨日发现YFV Staking池中存在一个漏洞,恶意参与者可通过该漏洞对质押中的YFV计时器进行单独重置。目前,已有某个恶意参与者试图借此敲诈团队。对此,Yfv Finance决定:
1. 通知质押用户停止在当前的staking pool中质押YFV,并在计时器允许的情况下尽快取出资金。
2. 在下一个epoch销毁当前的YFV staking pool。这将相当于15%的供应销毁。如果社区想要一个新的staking pool,团队会尽快制定一个新的迁移计划。
3. 目前被困在池中的资金,团队已制定解救计划,但出于安全考虑目前不会披露。
4. 将使用发展基金(约30万YFV),补偿受计时器重置攻击影响的用户。[2020/8/30]
Yfv Finance:用户需停止在当前的staking pool中质押YFV,并提取资金:Yfv Finance团队今日发布公告称,团队于昨日发现YFV Staking池中存在一个漏洞,恶意参与者可通过该漏洞对质押中的YFV计时器进行单独重置。目前,已有某个恶意参与者正试图借此敲诈团队,团队已确认这个恶意行为者是一个心怀怨恨的farmer。尽管团队不断地通知和提醒,该恶意参与者还是没有在UTC时间7点52分关闭前将其资金从Pool 0中取出。当听说团队决定把是否拯救其资金的决定留给社区时,该恶意参与者决定诉诸威胁和勒索。
对此,Yfv Finance决定:
1. 通知所有质押用户停止在当前的staking pool中质押YFV,并在计时器允许的情况下尽快取出他们的资金。
2. 在下一个epoch(预计GMT时间8月28日下午2:00:38)销毁当前的YFV staking池。这将相当于15%的供应销毁。如果社区想要一个新的注池,我们会尽快制定一个新的迁移计划。
3. 目前被困在池中的救助资金。团队已经制定了一项解救计划,但出于安全考虑目前不会披露。
4. 将使用发展基金(约30万YFV),补偿任何受到计时器重置攻击而无法从救援计划中受益的社区成员。[2020/8/25]
此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。
根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。
总结
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。
根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。
成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
在YFI价格超过BTC之后,YFI可能很快可以成为MakerDAO的抵押资产了。2020年8月26日,用户paraficapital在MakerDAO社区论坛发布提案,根据MIP6协议,建议增加.
1900/1/1 0:00:00自从七月底上涨之后,比特币在八月份似乎并没有太多惊艳表现。在过去的几周时间里,比特币价格一直在反复尝试突破12000美元阻力位,目前价格区间基本上停留在11800美元左右.
1900/1/1 0:00:00几个月时间内,DeFi就经历了一场超级大牛市。如果从312黑天鹅事件算起,短短半年时间,DeFi前100项目代币总市值翻了20倍,触及100亿美元,DeFi生态质押资产总价值也从4.5亿美元上涨.
1900/1/1 0:00:00在去中心化金融领域中观察到的快速流行和投资增长,已在DeFi和与挖矿相关代币的价格图表上反映出,其中与挖矿相关代币包括Yearn.finance、Aave以及一些其他飙升至2020年新高的代币.
1900/1/1 0:00:00概述ChefNomi用他的寿司换取了价值1000万美元的ETH。这位SushiSwap创始人称这并非退出局。反之,他将自己比作莱特币创始人李启威,其在2017年清仓了莱特币.
1900/1/1 0:00:00作者:谷燕西在未来的数字金融生态当中,金融市场的基础设施一定是以分布式记账技术为主。分布式记账技术支持点对点之间的直接交易即结算,所以在交易的同时,结算同步完成.
1900/1/1 0:00:00