比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

SWAP:成都鏈安:YFV勒索事件始末分析

Author:

Time:1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。

并表示,此次事件可能和不久前的“pool0”事件相關,勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。漏洞分析合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:

成都鏈安:ApolloX 項目方因簽名系統缺陷被攻擊,損失約160萬美元:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,ApolloX 項目遭受攻擊,根據成都鏈安技術團隊分析,發現ApolloX簽名系統存在缺陷,攻擊者利用簽名系統缺陷生成了255個簽名,總共從合約中提取了53,946,802$APX,價值約160萬美元,目前被盜金額通過跨鏈已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代幣APX在今日19:00左右從0.054美元快速跌至0.019美元,閃跌約60%。[2022/6/9 4:11:35]

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息,OneSwap已9月6日順利通過智能合約代碼安全審計,此次審計工作由三家業內知名的安全公司慢霧科技,派盾PeckShield,成都鏈安完成。在審計過程中,三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作,以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準,審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議,在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可,可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息,Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:

動態 | 成都鏈安面向聯盟鏈推出“一站式”安全平臺:據官方消息,成都鏈安面向聯盟鏈安全需求推出“一站式”安全解決方案,為聯盟鏈生態提供從安全設計、開發、安全檢測到運行時安全監控和管理等全方位的安全服務與支持。

?

“一站式”安全平臺主要包括:支持FISCO-BCOS、Fabric、以太坊、EOS等多個平臺的“一鍵式”智能合約自動形式化驗證工具Beosin-VaaS;Beosin-IDE智能合約開發工具;Beosin-Eagle Eye安全態勢感知系統;Beosin-Firewall防火墻;Beosin-OSINT 威脅情報系統;安全審計與檢測;安全顧問等服務。

?

成都鏈安作為最早專門從事區塊鏈安全的公司之一,核心團隊在安全領域深耕18年,申請區塊鏈安全相關軟件發明專利和著作權15項。平臺推出以來,已為微眾銀行區塊鏈、布比、云象、益鏈等多個聯盟鏈平臺提供了全套的“一站式”安全解決方案和安全防護。[2019/11/28]

UnfrozenStakeTime如下圖所示:

綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db其中一筆如下圖所示:

此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。總結

針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。

Tags:SWAPONEOneSwapONESRamenSwapComponentcic幣oneside

幣安app官網下載
穩定幣:谷燕西:從USDT到Libra,分析數字穩定幣的商業模式

區塊鏈技術和加密數字金融產品發展到現在,出現的一個主要的數字金融產品就是數字穩定幣。最初的USDT從2015年出現發展到今天,已經有接近140億美元的USDT在市場中流通.

1900/1/1 0:00:00
USD:USDC迎來2.0版本,穩定幣市場格局或因DeFi而改變

編者按:本文來自巴比特資訊,翻譯:隔夜的粥,星球日報經授權發布。上周末,Circle和Coinbase聯合宣布對USDCoin(USDC)協議和智能合約進行了重大升級,該更新為USDC智能合約增.

1900/1/1 0:00:00
ETH:ETH周報 | 8月鏈上手續費已超過9千萬美元;Aave抵押量暴漲至17億美元,排名第一(8.24-8.30)

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 8月28日,Aave上線YFI,支持YFI作為抵押資產。受此影響,Aave抵押量暴漲至17.1億美元,排名第一,環比增長28%.

1900/1/1 0:00:00
TRX:嘿,你擔心手里的DeFi幣成為下一個Hotdog嗎?

貌似HOTDOG的官網并無異常之處。好吧。我承認,整件事情最可怕的點就在于,現在市場上大量追隨YFI、YAM、SUSHI,打著DeFi旗號的仿盤,在復制粘貼,且未經審計.

1900/1/1 0:00:00
APP:DeFi生態誰說了算?2020年8月DApp生態數據分析

要點總結:ETH、EOS和TRONDApp生態最繁榮,形成了DApp生態建設的第一梯隊,第二梯隊包括IOST、BOS、ONT、COCOS等;DApp活躍用戶數據:以太坊自2019年11月始.

1900/1/1 0:00:00
AMA:大熱的波卡及波卡生態,是價值發現還是被嚴重高估?

編者按:本文來自白話區塊鏈,作者:五火球教主,Odaily星球日報經授權轉載。這兩天最熱的項目,波卡敢說第二,沒人敢說自己是第一.

1900/1/1 0:00:00
ads