成都鏈安：YFV勒索事件始末分析_STA:Rasta Finance

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

成都鏈安：Discover項目正在持續遭到閃電貸攻擊:6月6日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Discover項目正在持續遭到閃電貸攻擊，攻擊者通過閃電貸使用BSC-USD大量重復兌換Discover代幣，其中一個攻擊者0x446...BA277獲利約49BNB已轉入龍卷風，攻擊交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻擊合約:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6

攻擊者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277[2022/6/6 4:05:40]

成都鏈安：BaconProtocol遭受攻擊事件分析:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，BaconProtocol遭受黑客攻擊損失約958,166 美元，關于本次攻擊，成都鏈安團隊第一時間進行了分析：1. 本次攻擊利用重入漏洞，并憑借閃電貸擴大收益額。2：目前攻擊者地址還沒有被加入USDC的黑名單中。[2022/3/6 13:40:01]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：

LLE智能合約已通過Beosin(成都鏈安）的安全審計:據官方消息，Beosin（成都鏈安）今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統（Leopard lending ecology）是在以太坊區塊鏈上的智能協議，以該協議為中心建立貨幣服務市場，服務市場是基于資產借貸需求，以計算得出利率。資產的供應商直接與協議進行交互，從而賺取浮動利率，而無需等待協商利率或抵押品等條款。

創始人Willians表示：我們LLE智能合約的整體設計清晰，邏輯縝密，代碼安全可靠，具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址：0xa1521aA6FE752195418ddbADB5A0c331608416B1；

審計報告編號：202009222010。[2020/9/24]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：STASTAKTIMETIMRasta FinanceHest StakeSantiment Network Token

ICP