USD:安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Poly Network：漏洞已修復，并得到安全公司審計:8月15日消息，Poly Network發推表示，修復了導致keeper地址被修改為白帽黑客指定地址的跨鏈合約漏洞。修復涉及將可以通過外部調用調用的合同和方法列入白名單。修補的漏洞得到了安全公司派盾的審計。[2021/8/15 22:15:43]

USDK已成為區塊鏈安全公司Armors審計服務支付方式:3月2日，據OKLink官方消息，USDK已成為Armors智能合約審計服務支付方式，用戶可以通過USDK支付Armors審計服務。知名區塊鏈安全公司Armors，從智能合約全生態平臺延展到整體區塊鏈安全提供一整套區塊鏈免疫系統，使用無監督機器學習和AI算法為DApp構建多維模式，從智能合約全生態平臺延展到整體區塊鏈安全。

據了解，USDK是全球領先的區塊鏈大數據公司OKLink與美國信托公司Prime Trust聯合推出的合規穩定幣業務，錨定1:1美元兌換。由著名審計公司EideBailly每月出具審計報告，確保資產透明。依托強大的用戶基礎，USDK將為穩定幣帶來更高的流動性。[2020/3/2]

動態 | 數據安全公司宣布正式進入Ripple XRP Ledger生態系統唯一節點列表:據消息報道，數據安全和隱私公司Data443昨日宣布，它們已正式添加到Ripple（XRP） Ledger生態系統的唯一節點列表（UNL）中。UNL是10個組織的列表，這些組織被給予驗證節點以獲得有關XRP Ledger中的可靠信息。[2018/9/7]

Tags：區塊鏈STAIMEUSD區塊鏈最大騙局StabinolIMET價格usdt幣好賣嗎

屎幣