安全公司:YFV项目勒索事件的根本原因在于没有做好上线前的代码审计工作

12字总结:当下趋势,如何配置加密资产?

昨天,整个市场继续普跌,并且跌幅进一步加大。 整个市场的情绪开始悲观,有不少投资者开始抱怨“不是说好是牛市的吗”、“为什么连主流币都跌”…… 我还是再次和大家强调:无论这轮行情会发展到什么地步,至少当下它还没有到终点;此外行情的发展不可能一路上涨,中途跌个10…

比特币日报讯,

今日早间,基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。

成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db ,此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

成都链安认为,本次事件的根本原因在于,没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

在比特币日报读懂区块链和数字货币,加入Telegram获得第一手区块链、加密货币新闻报道。

数据:比特币闪电网节点数量为13505个

比特币日报讯,据1ML数据,当前比特币闪电网络节点数为13505个,过去30天内增加2.39%;通道数量为37124个,过去30天内减少0.9%;网络容量达到1032.78个BTC,过去30天内增加3%。在比特币日报读懂区块链和数字货币,加入Telegram获…

Click to rate this post!
[Total: 0 Average: 0]