YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
成都鏈安:GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息,據成都鏈安安全輿情監控數據顯示,GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣,攻擊者惡意調用了depositFromOtherContract函數記賬,并憑空提取了GYM token,目前2000BNB已進了Tornado Cash,3000BNB存放在攻擊賬戶中,價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]
成都鏈安CEO楊霞:DeFi項目方應重視合約安全問題:據官方消息,在由OKEx主辦的“后疫情時代:DeFi的機遇與挑戰”社群活動上,成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件,她表示,DeFi項目正在快速發展壯大,據我們統計截止2020年,鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”,開放式金融基礎,則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮;但并沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格安全審計,這就導致各種合約漏洞與相關安全問題層出不窮,此次事件項目方就應該進行重入防護:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合約狀態變量,再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,借助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。[2020/4/30]
此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:
成都鏈安CMO:交易所需建設一套完整的資金內控系統:3月11日晚8點,成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點:交易所需建設一套完整的資金內控系統,并對每筆資金的出入都應該做好審核和記錄。此外他還指出,關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司,由前海母基金,聯想創投,復星國際,分布式資本等知名企業和創投戰略投資,電子科技大學楊霞教授,郭文生教授,高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
Tags:EFIDEFIDEFSTAMEFI價格pinetworkdefi幣怎么退出熱門了HyperDeflateFile Network Star
編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。從Compound6月15日推出COMP代幣的流動性挖礦以來,DeFi的流動性挖礦成為早期項目引導出流動性的關鍵手段.
1900/1/1 0:00:00編者按:本文來自01區塊鏈,Odaily星球日報經授權轉載。DC/EP相關工作穩步推進,已有公務員拿到數字貨幣工資8月3日,中國人民銀行召開2020年下半年工作電視會議.
1900/1/1 0:00:00今年幣圈環境變化的非常快,幾個熱點互相轉換,推動著行情上漲。細想的話,自312以來幣圈確實經歷了一個牛市,除非大家覺得比特幣兩倍的漲幅也不算牛市.
1900/1/1 0:00:00Odaily星球日報譯者|Moni2020年,去中心化金融行業呈現爆炸式增長,到底是什么推動了DeFi向前發展?這個行業是否能夠通過創新實現可持續發展呢?下面就讓星球君和大家一起來研究一下.
1900/1/1 0:00:00最近,好久不見的孫宇晨——孫哥被波場投資者們集體維權了。自從上次收購Steemit被社區踢出管理層,又被全網圍攻之后,孫宇晨便轉向買不如抄的策略,開始抄襲以太坊的DeFi生態.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:TINGPENG,Odaily星球日報經授權轉載。Aave已成為頂級的DeFi協議,其智能合約鎖定了15億美元.
1900/1/1 0:00:00