加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > ICP > Info

成都鏈安:YFV勒索事件始末分析_STA:Rasta Finance

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

成都鏈安:Discover項目正在持續遭到閃電貸攻擊:6月6日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Discover項目正在持續遭到閃電貸攻擊,攻擊者通過閃電貸使用BSC-USD大量重復兌換Discover代幣,其中一個攻擊者0x446...BA277獲利約49BNB已轉入龍卷風,攻擊交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻擊合約:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻擊者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

成都鏈安:BaconProtocol遭受攻擊事件分析:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BaconProtocol遭受黑客攻擊損失約958,166 美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析:1. 本次攻擊利用重入漏洞,并憑借閃電貸擴大收益額。2:目前攻擊者地址還沒有被加入USDC的黑名單中。[2022/3/6 13:40:01]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。

創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;

審計報告編號:202009222010。[2020/9/24]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:STASTAKTIMETIMRasta FinanceHest StakeSantiment Network Token

ICP
國盛區塊鏈:紐交所獲批“直接上市規則”,建行開展DCEP線上測試_數字人:以下哪項不是區塊鏈目前的分類

編者按:編者按:本文來自吉時通信,Odaily星球日報經授權轉載,Odaily星球日報經授權轉載。摘要SEC批準紐交所直接上市提議,企業無需IPO即可直接上市融資.

1900/1/1 0:00:00
SushiSwap的創始人Chef Nomi是誰?_SHI:USH

編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。自從9月5日傳出SushiSwap創始人「ChefNomi」套現1.8萬ETH的消息傳出,SUSHI代幣價格已經暴跌.

1900/1/1 0:00:00
Filecoin官方完成可信配置環節,將為新的邏輯電路生成安全參數_FIL:COIN

去年年底,Filecoin官方圓滿地完成了可信配置環節的第一階段,也就是“PowersofTau”.

1900/1/1 0:00:00
DAOhaus V2:DAO 工具的一次革命_DAO:2DAI幣

原地址:https://medium.com/daohaus-club/daohaus-v2-86591e6f0595作者:CooperTurley譯者:李意翻譯機構:DAOSquare當您將一.

1900/1/1 0:00:00
霍比特巨建華:推動下輪牛市的一定是跨鏈的應用 | 2020新區勢峰會_區塊鏈:BTC

整理|黃雪姣編輯|郝方舟出品|Odaily星球日報 8月28日,「2020新區勢·區塊鏈科技金融峰會」在北京舉辦.

1900/1/1 0:00:00
詳解美國SEC修訂合格投資者定義,拓展合格實體清單_NEX:ANC

來自|SEC官網,編譯|PANews 美國證券交易委員會于2020年8月26日通過了對“合格投資者”定義的修訂,“合格投資者”是該監管機構確定哪類人有資格參與私人資本市場的主要標準之一.

1900/1/1 0:00:00
ads