YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。漏洞分析合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
DeFi用户地址量达317万 为年初时的2.7倍:8月10日,据DuneAnalytics数据显示,DeFi用户地址量达317万,为今年年初时的2.7倍。1月1日时,DeFi用户地址量仅为118万。[2021/8/10 1:45:58]
此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:
波卡DeFi平台Acala完成一笔从以太坊到Acala的跨链转账:5月4日消息,波卡DeFi平台Acala Network联合创始人Bette Chen发推称,自己刚刚从以太坊(Kovan)发送了0.1 WETH到Acala Network(Mandala)上,ERC20(协议)可以直接在Acala EVM上运行,并且可以跨链至Polkadot & Kusama上的所有平行链( Acala的可组合性)。此外,用户体验(UX)即将公布。据悉,该跨链桥由ChainSafe Systems驱动。[2021/5/4 21:23:30]
DeFi总市值330.9亿美元 OKEx平台WNXM领涨:据OKEx统计,DeFi项目当前总市值为330.9亿美元,总锁仓量为323.1亿美元;
行情方面,今日DeFi代币普涨,OKEx平台DeFi币种涨幅前三位分别是WNXM、MLN、AAVE;
截至18:00,OKEx平台热门DeFi币种如下:[2021/1/22 16:48:13]
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。总结
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。