STAK:Yfv Finance：用戶需停止在當前的staking pool中質押YFV，并提取資金_starlink幣銷毀機制

YfvFinance團隊今日發布公告稱，團隊于昨日發現YFVStaking池中存在一個漏洞，惡意參與者可通過該漏洞對質押中的YFV計時器進行單獨重置。目前，已有某個惡意參與者正試圖借此敲詐團隊，團隊已確認這個惡意行為者是一個心懷怨恨的farmer。盡管團隊不斷地通知和提醒，該惡意參與者還是沒有在UTC時間7點52分關閉前將其資金從Pool0中取出。當聽說團隊決定把是否拯救其資金的決定留給社區時，該惡意參與者決定訴諸威脅和勒索。對此，YfvFinance決定：1.通知所有質押用戶停止在當前的stakingpool中質押YFV，并在計時器允許的情況下盡快取出資金。2.在下一個epoch銷毀當前的YFVstaking池。這將相當于15%的供應銷毀。如果社區想要一個新的staking池，團隊會盡快制定一個新的遷移計劃。3.目前被困在池中的救助資金。團隊已經制定了一項解救計劃，但出于安全考慮目前不會披露。4.將使用發展基金，補償任何受到計時器重置攻擊而無法從救援計劃中受益的社區成員。

Yfv Finance宣布啟動ETH-USDC和ETH-WBTC UNIv2代幣的Value Vault:Yfv Finance在推特上宣布，面向ETH-USDC和ETH-WBTC UNIv2代幣的Value Vault已經啟動并運行。[2020/9/24]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

DeFi 項目 YFValue 中有 1.7 億美元的資金存在被合約所有者鎖定的風險:推特用戶 dryrunner 發布評論警告用戶從 DeFi 項目 YFValue 中撤出資金，因為該協議中大約有 1.7 億美元的資金存在被合約所有者鎖定的風險。目前該項目除了可以挖 YFV 代幣之外，礦工還在挖掘 yfv 引入的另外兩個代幣，分別是 vETH 代幣和 vUSD 代幣。而這兩個代幣都有一個只有所有者可對其進行修改的鑄幣者集，一旦所有者從鑄幣者集中刪除該合約，所有有關提款、推出、質押和獲得獎勵的操作都有可能失效。這意味著，價值 1.70 億美元的資金有可能被單個以太坊合約所有者賬號 0x7be4d5a99c903c437ec77a20cb6d0688cbb73c7f 鎖定的風險。[2020/8/24]

Tags：STASTAKETHStakingstarlink幣銷毀機制pSTAKE Staked ATOMETHO幣staking幣圈

DAI