以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

STA:成都鏈安:YFV勒索事件始末分析

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

成都鏈安:BasketDAO遭到攻擊,導致用戶損失約120萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BasketDAO遭到攻擊,導致用戶損失約120萬美元。通過鏈必追產品進行追蹤分析,發現大部分被盜資金都被存入了 TornadoCash,以下為受害者地址:[2022/3/30 14:27:04]

LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。

創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;

審計報告編號:202009222010。[2020/9/24]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

動態 | 任子行斥資1000萬元增資成都鏈安 推動區塊鏈行業安全監管:任子行(300311)11月28日晚公告,公司擬以自有資金 1000 萬元向成都鏈安增資。增資完成后,公司將獲得成都鏈安 5.39%股權。公司與成都鏈安創始人楊霞、郭文生、高子揚于 11 月 28 日簽署了投資協議。

任子行稱,公司聚焦網絡空間數據治理,為工信部、等部門提供網絡安全產品和服務。此次投資是基于公司網絡安全行業整體戰略規劃以及自身發展需要,持續跟進前沿技術,在網絡安全新興領域的重要布局。雙方合作有利于發揮各自優勢,積極推動區塊鏈行業的安全監管,促進公司整體戰略長期、持續、高效發展。(中證網)[2019/11/29]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STASTAKKETSTAKEStableXSwappSTAKE Staked ETHBANKETHstakedXEM

酷幣交易所
EER:DeepDAO為我們帶來了DAO版的CoinMarketCap,它到底是什么?

編者按:本文來自鏈聞ChainNews,撰文:LeftOfCenter,星球日報經授權發布。今天,數據分享平臺DeepDAO發布了首款產品的alpha版本.

1900/1/1 0:00:00
DEFI:觀察:投機行為導致市場泡沫,DeFi要走更遠還需持續優化

編者按:本文來自金色財經,Odaily星球日報經授權轉載。DeFi鎖倉總價值已經超過了80億美元了,以太坊交易量更是逼近2018年的水平,gas費用也創下歷史新高,整個市場的狂熱情況似乎沒有絲毫.

1900/1/1 0:00:00
EFI:DeFi“貨幣樂高”屬性能持續推動創新嗎?

編者按:本文來自金色財經,Odaily星球日報經授權轉載。我們知道傳統的金融系統有著許可性、入場門檻較高、額外法律成本等特征,因此在可組合性方面受到較大限制.

1900/1/1 0:00:00
USDT:行情分析:ETH繼續猛沖,BCH有埋伏潛力

本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。金色財經合約行情分析 | BTC持倉量處于近期低位,觀望情緒較濃:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BT.

1900/1/1 0:00:00
NFT:威廉:這輪行情到底熱鬧在哪兒?

我不知道各位最近有沒有感覺到行情的火熱呢?這段時間的幣圈可真是冰火兩重天,每年大概有這種情況兩三回吧,一般就是比特幣橫盤或下跌的時候,板塊熱點幣表現搶眼,就會造成對行情感受的“冰火兩重天”.

1900/1/1 0:00:00
EFI:DeFi只是少數人的牛市,還會有“全面牛市”嗎?游戲、物聯網、AI等有望爆發嗎?

編者按:本文來自白話區塊鏈,作者:木沐,Odaily星球日報經授權轉載。DeFi火了,也帶來了局部的牛市.

1900/1/1 0:00:00
ads