買比特幣 買比特幣
Ctrl+D 買比特幣
ads

STAK:分析 | YFValue,一行代碼如何鎖定上億資產_pSTAKE Staked BNB

Author:

Time:1900/1/1 0:00:00

前言

據鏈聞消息,DeFi項目YFValue發布公告稱,團隊于昨日在YFV質押池中發現一個漏洞,惡意參與者借此漏洞對質押中的YFV計時器單獨重置。目前已有一個惡意參與者正試圖借此勒索團隊。慢霧安全團隊對此進行了深入分析,以下是相關技術細節。

細節分析

分析了一大堆,回到我們最初的問題,惡意的用戶是怎么鎖定其他用戶的資產的呢?

回到用戶抵押的邏輯,可以發現抵押邏輯中的stakeOnBehalf函數本意是幫助進行抵押,但是這里有個問題,如果這個用戶先前已經有抵押了呢?那通過對已經抵押的用戶再次進行抵押,比方說抵押1個YFV,是不是就能以極低的成本重置已抵押的用戶的計時器,導致用戶在withdraw時無法成功調用。更進一步,假設YFV抵押用戶已經成功調用了stakeReward函數,在快要達到unfrozenStakeTime所規定的時間時,惡意的用戶可以通過stakeOnBehalf函數給這個用戶抵押少量資產,即可再次對抵押獎勵進行鎖定,理論上這樣往復循環,即可使用戶無法取出自己的資產,但這個問題并不會導致資金損失。攻擊流程如下:

前車之鑒

這是本月出現的第二個沒有經過審計的DeFi項目所暴露出的風險,根據YFValue的官方聲明(https://medium.com/@yfv.finance/yfv-bringing-true-value-to-yield-farming-bddc4edf889a),項目代碼是由富有經驗的開發者進行開發的,同時借鑒了其他成功的項目的代碼,但是仍無可避免的出現了風險。術業有專攻,安全審計一方面需要項目方的正向思維,另一方面,還是需要專業的安全團隊的逆向思維,從專業的黑客角度進行模擬對抗,發現問題。

修復方案

通過分析代碼和漏洞細節,針對本次漏洞,修復方案也很簡單,只要在抵押的時候檢查用戶的抵押狀態是否為已經抵押,如果已經抵押,則不允許再次抵押。或者對每次的抵押進行單獨的處理,不能對先前的抵押狀態產生影響。

Tags:STAKSTASTAKEVALpstake幣前景GamestapSTAKE Staked BNBHIVALHALLA

以太坊價格
DOT:波卡生態大揭秘_https://etherscan.io

在前天波卡項目代幣DOT100倍拆分后,市場又掀起了一陣波卡熱。 看似價格下來了,卻是100倍拆分,只是看起來單價降了。其實價格還是漲的.

1900/1/1 0:00:00
ECO:Filecoin項目調研——投資者該如何進行選擇?_LEC

前言 目前Filecoin項目成為區塊鏈中最為追捧的明星項目,因為Filecoin項目是當前最具可落地價值的區塊鏈應用項目.

1900/1/1 0:00:00
NEO:達鴻飛:顛覆HTTP的IPFS,將被誰顛覆?丨2020全球區塊鏈算力大會_FIL

8月22-23日,“2020全球區塊鏈算力大會暨新基建礦業峰會”在成都舉辦。會議由市新經濟委、市科技局、成華區政府指導,由成華區新經濟和科技局、成華區投促局、龍潭新經濟產業功能區管委會、巴比特、.

1900/1/1 0:00:00
比特幣:OKEx Research:6大指標看懂真實的比特幣市場_比特幣最新價格行情以太坊實時行情

原題《OKExResearch:6大指標看懂真實的比特幣市場》作者:OKExResearch近日,據Glassnode統計報告顯示,比特幣的短期MVRV比率目前正支持牛市的說法.

1900/1/1 0:00:00
CUR:觀察 | 影響未來金融市場的三大DeFi項目_穩定幣

作者:Quantstamp 翻譯:Olivia DeFi應用依舊積極推動金融的自動化和去中心化發展.

1900/1/1 0:00:00
以太坊:洪澇天災與DeFi熱潮——加密礦工的驚險八月_GAS

來源:區塊律動BlockBeats,作者:?0x66,原題《加密礦工的「驚險」八月》對于加密礦工來說,2020年既是革新的一年,又是魔幻的一年。雖同是礦工身份,但不同的礦工間的處境差距有點大.

1900/1/1 0:00:00
ads