YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。?
合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
成都链安:fomo-dao项目遭受攻击,攻击者获利11万美元,目前已转至Tornado.cash:金色财经消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,fomo-dao项目遭受攻击。攻击者地址:
0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a
攻击交易bsc:0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5
攻击合约:0xe62b2dfc54972354fac2511d8103c23883c746c4
目前攻击者获利11万美元,已经转至Tornado.cash[2022/6/4 4:01:44]
仙人掌CTS智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成仙人掌CTS智能合约项目的安全审计服务。
?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链,同时包含去中心化稳定数字货币,去中心化预言机,去中心化保险,流动性挖矿,智能挖矿等等功能的创新和聚合,进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募,社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。
合约地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s
审计报告编号:202009262149[2020/9/28]
此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示:
成都链安CMO:交易所需建设一套完整的资金内控系统:3月11日晚8点,成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点:交易所需建设一套完整的资金内控系统,并对每笔资金的出入都应该做好审核和记录。此外他还指出,关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司,由前海母基金,联想创投,复星国际,分布式资本等知名企业和创投战略投资,电子科技大学杨霞教授,郭文生教授,高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动,不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。
根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。
根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。
成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。