POO:YFV勒索事件分析：DeFi需做好上線前的代碼審計工作

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相關，勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

Gate.io行情：YFV 24H最高漲幅37.29%:據Gate.io行情顯示，截至今日10:30，交易對YFV/USDT 24H漲幅最高達37.29%，當前漲幅21.44%，24H最高價格6美元，當前報價5.55美元。近期行情波動較大，請注意控制風險。[2020/10/10]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

AOFEX于9月9日上線XRT、CVP、YFV、JFI:據官方消息，AOFEX交易所于9月9日正式上線XRT、CVP、YFV、JFI并已開放充值，AQ及USDT交易區16:00開放XRT及CVP交易，17:00開放YFV及JFI交易。

XRT（Robonomics Network）是旨在創建機器人責任合同市場的開源協議；CVP（PowerPool）是為匯集治理代幣提供便捷解決方案的協議；YFV（YFValue）是分叉自YFI的 DeFi 收益聚合器和流動性挖礦平臺；JFI（JackPool）是JustSwap上的一鍵DeFi挖礦聚合協議。

AOFEX是數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2020/9/9]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：

Yfv Finance宣布完成YFV協議的審計工作：未發現關鍵性問題:Yfv Finance宣布，The Arcadia Group已在預計時間內完成了YFV協議的審計工作。審計由Arcadia的工程師Minh Khai Do進行，總結由Rasikh Morani和Joel Farris進行。評估確定了與代碼質量和健康狀況相關的少量低嚴重性問題。沒有發現高嚴重性或關鍵性問題。

8月25日消息，yfv Finance團隊發布公告稱，團隊于昨日發現YFV Staking池中存在一個漏洞，惡意參與者可通過該漏洞對質押中的YFV計時器進行單獨重置。目前，已有某個惡意參與者試圖借此敲詐團隊。對此，Yfv Finance決定：

1. 通知質押用戶停止在當前的staking pool中質押YFV，并在計時器允許的情況下盡快取出資金。

2. 在下一個epoch銷毀當前的YFV staking pool。這將相當于15%的供應銷毀。如果社區想要一個新的staking pool，團隊會盡快制定一個新的遷移計劃。

3. 目前被困在池中的資金，團隊已制定解救計劃，但出于安全考慮目前不會披露。

4. 將使用發展基金（約30萬YFV），補償受計時器重置攻擊影響的用戶。[2020/8/30]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：STASTAKPOOPOOLStarbaseUniverseStakeNetPOORpoolz幣在哪個交易所

幣贏交易所