YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的『pool0』事件相關,勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。
漏洞分析
OKEx上線YFV、BAND杠桿交易、余幣寶及永續合約:據官方消息,OKEx于香港時間9月7日15:00在網頁端、APP端及API正式上線YFV、BAND的杠桿交易、余幣寶及YFVUSDT、BANDUSDT永續合約。據悉,當前OKEx永續合約除十大主流幣(BTC/ETH/EOS/LTC/BCH/XRP/ETC/BSV/TRX/LINK)外,其他幣種掛單零費率,且最高返傭0.035%。[2020/9/7]
合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
聚幣Jubi已于9月2日16:00上線YFV/USDT及YAMV2/USDT:據官方消息,聚幣Jubi已于2020年9月2日16:00(UTC+8)上線考察區幣種YFV及YAMV2,開放YFV /USDT及YAMV2/USDT交易市場。
YFV是YFValue協議的管理通證。該項目旨在通過其獨特功能包括供應通貨膨脹率的投票和自動轉介系統,為所有用戶提供真正的增產農業融資價值。
YAM的核心是一種彈性的供應加密貨幣,可根據市場情況擴展和收縮供應。yam.finance未來將完全由YAM持有者管理社區。YAM代幣是Yam 協議的核心,該代幣具有彈性供應的特點,供應量會根據市場情況增加或減少。YAMv2只做遷移使用,YAM用戶可以通過合約銷毀老的YAM幣而獲得新的YAMv2幣,兌換比例按原始數量計算,不受YAM的rebase影響。[2020/9/2]
SUSHI、YFV、UMA上線24H最高漲幅191.15%:據Gate.io行情顯示,新交易對SUSHI/ USDT、YFV/ USDT、UMA/ USDT昨日上線后幣價持續暴漲,其中SUSHI領漲新交易對,24H最高漲幅達191.15%,當前漲幅120.70%,當前報價2.982美元;YFV 24H最高漲幅127.5%,當前漲幅67.93%,當前報價47.24美元;UMA 24H最高漲幅78.57%,當前漲幅57.61%,當前報價16.55美元。詳情見原文鏈接。[2020/8/31]
此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。
根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。
總結
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。
根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。
成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
每一輪市場行情到來時,總有幾家歡喜幾家愁:有人因為這樣那樣的原因錯過了行情中暴漲的熱門項目,也有人因為各種機緣巧合抓住了黑馬實現財富的暴漲.
1900/1/1 0:00:00來源:律動BlockBeats8月17日,EncodeClub創始人DamirBandalo在推特上表示,其統計了前15個DeFi協議,實際DeFi總鎖倉價值或只有35億美元.
1900/1/1 0:00:00DeFiToken火了,火的毫無道理,火的一塌糊涂。從6月的Compound開始,到最近的YAM、CRV,一個接著一個的DeFi幣種此起彼伏的出現在大眾的視野中,令人目不暇接.
1900/1/1 0:00:008月22日-23日,“共享新機遇——2020全球區塊鏈算力大會暨新基建礦業峰會”在成都舉行。本次大會由成都市新經濟委、成都市科技局及成都市成華區人民政府指導,由成都市成華區新經濟和科技局、成都市.
1900/1/1 0:00:00本文來源:技術瑣話,編譯:石濤聲,原題《Web3的三次革命》本文是根據谷歌的產品設計師TonyAubé在WAQ2019上演講的文字版整理而成.
1900/1/1 0:00:008月15日,BCA區塊鏈藝術聯合傳茂文化主辦的《加密藝術導論及創作》在線課程正式開啟,由南京航空航天大學區塊鏈產業研究中心教育主管宋婷擔任主講人的第二期課程《加密藝術的悲喜母題:開源運動、web.
1900/1/1 0:00:00