YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。?
合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商(VASP)监测交易风险、执行反合规程序,帮助监管部门监督VASP合规流程执行情况,帮助执法部门快速收集虚拟资产犯罪案件证据,为受害者提供技术协助,成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务,受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后,可在网站提交相关信息,平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统,采集链上交易数据,分析加密货币犯罪和安全事件,结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]
分析 | 成都链安:盗窃Upbit交易所黑客开始测试向交易所充值:据成都链安反系统(Beosin-AML)监测显示,Upbit攻击者于28日下午17:08开始向0xf467816地址转移60100ETH,并将少量ETH转往可能随机选取的中间地址。通过该地址,这笔小额ETH目前已经进入疑似火币交易所钱包地址0x5401dbf7da53e1c9。目前攻击者正在分散资金,且通过少量的ETH测试是否能够成功进入交易所。[2019/11/28]
此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示:
比原链牵手成都链安科技,共建区块链安全新生态:近日,比原链基金会与成都链安科技签署战略合作协议。双方将在区块链安全技术领域达成初步合作意向,未来成都链安科技将会为比原链提供底层平台的形式化安全验证,智能合约的开发、审计、安全验证等服务,保证比原链平台和智能合约的安全性、功能正确性。[2018/5/10]
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。
根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。
根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。
成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
标签:STASTAKSTAKETIMEbitstamp中文版可靠吗pstake币发行量pSTAKE Staked ETHSentiment Token
全球最大的比特币(BTC)交易平台之一BitMEX,现已正式被限制在至少两个加拿大省内运营。根据安大略省证券委员会(OSC)的要求,BitMEX将很快限制来自安大略省的加拿大投资者对其平台的访问.
1900/1/1 0:00:00昨天凌晨3点,名叫YAM的DeFi项目出现了,其价格短暂上升至200美元之后,便一直维持在109美元,资金池抵押资金数量高达6亿美元。今天,YAM单价从109美元跌到0.9美元,跌幅超过98%,资金池缩水到2.8亿美元.
1900/1/1 0:00:008月19日凌晨0点39分,Polkadot(波卡)网络原生Token DOT正式「着陆」主网,实现了链上转账的功能,DOT可以在波卡网络中流通了.
1900/1/1 0:00:00今日,Zeus Capital发布一篇做空LINK的文章,称LINK生态是荷兰郁金香泡沫的现代版本.
1900/1/1 0:00:00证券交易所的模式在不断的进化当中。技术的应用在不断的改变交易所的运行模式。在过去的几十年中,交易所的经营模式经历了从交易池中的面对面的交易方式发展到完全电子化的交易方式.
1900/1/1 0:00:009月9日早间,Compound Labs官方发推宣布,社区已提交COMP提案022,该提案计划提高市场借贷上限。目前开发者已经完成借贷上限补丁代码,当前需要社区确定设置该提案的规则.
1900/1/1 0:00:00