YFV是一个基于以太坊的DeFi项目。今天早些时候,YFV官方发文称被敲诈。攻击者可以利用staking的合同漏洞任意重置用户锁定的YFV。
并表示此事可能与最近的“0号池”事件有关,而敲诈者极有可能是在“0号池”事件中没有拿回自己钱的“愤怒的农民”。
弱点分析
契约中有一个stakeOnBehalf函数,允许攻击者抵押任何用户,如下图所示:
此函数中的LastStakeTimes。两个事务都来自同一个地址,而且两个事务都是最小的。由此基本可以判断这是一个测试锁定问题的交易。
综上所述,针对此次事件,根本原因是上线前的代码审核工作没有做好。这件事其实是业务层面的漏洞。
根据成都联安的代码审核经验,部分项目方在进行代码审核时未能提供完整的项目相关资料,导致代码审核无法发现一些业务漏洞,导致上线后损失惨重。
成都联安安全实验室提醒各项目方,安全是发展的基石,做好代码审核是上线的前提。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"成都链安公司,成都链安科技有限公司":http://www.guoyinggangguan.com/xedk/194777.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
