以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

OneSwap:成都鏈安:YFV勒索事件分析

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。?

漏洞分析

成都鏈安:BaconProtocol遭受攻擊事件分析:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BaconProtocol遭受黑客攻擊損失約958,166 美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析:1. 本次攻擊利用重入漏洞,并憑借閃電貸擴大收益額。2:目前攻擊者地址還沒有被加入USDC的黑名單中。[2022/3/6 13:40:01]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes72小時。如下圖所示:

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息,OneSwap已9月6日順利通過智能合約代碼安全審計,此次審計工作由三家業內知名的安全公司慢霧科技,派盾PeckShield,成都鏈安完成。在審計過程中,三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作,以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準,審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議,在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可,可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息,Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。

根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STAOneSwapESWAPONESCRYSTALtreeswap幣價格BONES

火幣交易所
EOS:金色百科 | 什么是閃電套利?

套利,為我們所熟知的是,投資者或借貸者同時利用兩地利息率的差價和貨幣匯率的差價,流動資本以賺取利潤.

1900/1/1 0:00:00
加密貨幣:金色觀察丨復盤Yam事件 看DeFi收益耕作有何陷阱?

金色財經區塊鏈8月25日訊八月對DeFi行業來說注定是不平凡的一個月,一個全新收益耕作協議Yam.Finance橫空出世,但這個項目可謂“來得快去的也快”.

1900/1/1 0:00:00
HAI:去中心化拍賣工具 bounce.finance 調整代幣分配模型,BOT 總量自 50 萬削減至 22 萬

鏈聞消息,去中心化拍賣工具bounce.finance發布公告稱將調整代幣分配模型,治理代幣BOT的總供應量由50萬削減至22萬,調整過后的22萬枚代幣被分為四部分,其中每日獎勵占10萬枚.

1900/1/1 0:00:00
EFI:DeFi 資產管理賽道受熱捧,改進后的 Melon 潛力與掣肘在哪?

改版后的Melon有潛力隨著DeFi市場增長而壯大,但仍取決于市場對資產主動管理的需求。相關閱讀:《Synthetix生態的資產管理協議dHedge為何受眾DeFi投資基金青睞?》撰文:Jack.

1900/1/1 0:00:00
HTT:DIA(DecentralisedInformationAsset)

DIA去中心化信息資產,是一個開放源代碼的金融信息平臺,它利用加密貨幣經濟激勵措施來獲取和驗證數據。市場參與者可以提供,共享和使用金融和數字資產數據.

1900/1/1 0:00:00
BSN:BSN賦能《福建省新型基礎設施建設三年行動計劃》建設

2020年8月5日,福建省人民政府辦公廳印發了《福建省新型基礎設施建設三年行動計劃》。福建省將基于區塊鏈服務網絡建設“國家東南區域區塊鏈主干網”,開發上線數字福建區塊鏈應用公共平臺.

1900/1/1 0:00:00
ads