YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。?
漏洞分析
成都鏈安:ApolloX 項目方因簽名系統缺陷被攻擊,損失約160萬美元:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,ApolloX 項目遭受攻擊,根據成都鏈安技術團隊分析,發現ApolloX簽名系統存在缺陷,攻擊者利用簽名系統缺陷生成了255個簽名,總共從合約中提取了53,946,802$APX,價值約160萬美元,目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元,閃跌約60%。[2022/6/9 4:11:35]
合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。
?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。
合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s
審計報告編號:202009262149[2020/9/28]
此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes72小時。如下圖所示:
聲音 | 成都鏈安:使用鏈上合約輪詢開獎機制可能具有安全風險:今日早晨7點半,成都鏈安態勢感知系統鷹眼對某游戲合約交易發出預警,我們的安全人員對該預警進行分析發現,攻擊者正在使用一種新的途徑獲得隨機數種子,并通過合約不斷發起延時交易,嘗試預先計算或者得到游戲合約的開獎參數,安全團隊已通知項目方進行確認,建議具有類似基于線上合約定時開獎模式的項目方及時自查,避免遭到損失。望項目方看到本預警消息能夠及時聯系我們。[2019/6/12]
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。
根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。
總結
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。
根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。
成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
BTC行情分析:4小時圖來看,各時段均線向下延伸,布林帶開口向下,張口較大,MACD于零軸下方交死叉向下運行,KDJ三線走平,有醞釀金叉的可能,StochRSI指標低位超賣交金叉向上探頭.
1900/1/1 0:00:00親愛的用戶: 幣安礦池將于2020年08月26日12:00上線第3期“雙幣寶”理財產品,開放BTC、USDT專區.
1900/1/1 0:00:00尊敬的CITEX用戶: 為慶祝本次DDR上線,CITEX平臺聯合DDR共同舉行充值大賽與交易大賽活動.
1900/1/1 0:00:00本文對并沒有針對哪一個客戶端。我們要知道,每個客戶端甚至每個規范都可能含有不足以及漏洞。更別說,Eth2是一個十分復雜的協議,而它的實現者也都是凡人而已.
1900/1/1 0:00:00宗言宗語 昨天凌晨比特幣出現了砸盤,據說有太多人套現過節導致。跌破30日線出現小幅度的反彈,要是反彈的力度不足,將會下探11000支撐位。眼下明星幣就是DOT,各種光環加身.
1900/1/1 0:00:00親愛的AEX安銀小伙伴:為了提升幣種交易深度和流動性,我們將于8月26日16:00調整CRV/USDT交易對點位為3,請API用戶注意調整.
1900/1/1 0:00:00