區塊鏈:安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_STAR1

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Algorand基金會：已與安全公司、交易所合作追蹤并凍結MyAlgo錢包被盜資金:3月8日消息，針對近期MyAlgo錢包攻擊事件，Algorand基金會發布推文稱，已聘請區塊鏈安全公司Halborn進行調查；同時還聘請了Chainalysis來幫助追蹤受損的錢包轉賬，如果涉案資金存入與Chainalysis數據集成的交易所將會被凍結；相關執法機構正在進行調查，試圖通過以下交易所和合作伙伴追回被盜資金：Changenow、Kucoin和Circle。此外，Algorand基金會還發出提醒，建議將MyAlgo錢包中資產轉移至新創建的帳戶或硬件錢包中。[2023/3/8 12:49:46]

區塊鏈網絡安全公司Arkhivist獲得融資，很快將公布產品和代幣細節:據官方消息，專注于DeFi、區塊鏈和加密貨幣的網絡安全公司Arkhivist宣布獲得融資，由DeFi Alliance和IOSG的Xinshu Dong領投。Arkhivist很快將公布產品和代幣細節。[2021/6/27 0:09:18]

網絡安全公司WISeKey利用區塊鏈技術解決非洲土地登記糾紛:網絡安全公司WISeKey在盧旺達的土地登記處使用區塊鏈技術。非洲部分地區經常缺乏文件，導致土地糾紛，因為不清楚誰擁有土地。即使有記錄，有時也會被篡改。無法刪除的記錄，使用區塊鏈可以用來防止這些爭議。區塊鏈是一種分布式分類賬。最大的不同之處在于，這個分類賬沒有存儲在一個地方，它分布在世界各地的數百，甚至數千臺計算機上。網絡中的每個人都可以訪問分布式分類賬的最新版本。所以它是開放的、透明的、可審計和可核實的記錄。[2018/1/5]

Tags：區塊鏈LGOALGSTA區塊鏈通俗易懂的說法AlgOilALGX價格STAR1

FTT