STA:安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

安全公司：超過280個區塊鏈面臨“零日”漏洞的風險，至少價值250億美元:3月14日消息，據網絡安全公司Halborn表示，估計有280個或更多區塊鏈網絡面臨“零日”漏洞利用的風險，這些漏洞可能會使至少價值250億美元的加密貨幣面臨風險。

Halborn概述了三個漏洞，其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息，導致每個節點關閉”。它隨著時間的推移添加了這些消息，可能會使區塊鏈暴露于51%的攻擊中，攻擊者控制網絡的大部分挖礦哈希率或質押代幣以制作新版本的區塊鏈或使其離線。其他“零日漏洞”將允許潛在的攻擊者通過發送遠程過程調用 (RPC) 請求來破壞區塊鏈節點。[2023/3/14 13:03:06]

安全公司：DeFi借貸協議Cream Finance攻擊者再次轉移約200萬美元:據成都鏈安鏈必追平臺監測顯示，DeFi借貸協議Cream Finance攻擊者再次轉移200萬美元。攻擊者先將 2,000,000 DAI （價值約200萬美元）通過Curve Finance兌換為83個BTC，再將83個BTC轉移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址，昨日，攻擊者轉移約300萬美元，兩天已轉移約500萬美元，成都鏈安安全團隊將持續對新地址的資金進行分析和追蹤。據悉，2021年10月，DeFi抵押借貸協議Cream Finance遭遇閃電貸攻擊，損失1.3億美元。[2022/7/20 2:26:15]

安全公司：朝鮮黑客組織Lazarus設計網絡釣魚攻擊計劃，涉及500萬人:互聯網安全研究公司Cyfirma最近的一份報告稱，朝鮮黑客組織Lazarus設計了一個網絡釣魚計劃，涉及美國、英國、新加坡、日本、印度和韓國等國的約500萬個人和企業。Cyfirma預計，這次襲擊將在這個周末進行，為期兩天，不僅會影響到各國公民，還會影響到中小企業甚至大型企業。

注：2019年初，聯合國曾援引Group IB的報告稱，朝鮮黑客組織Lazarus被指控制造了五起加密貨幣竊案，攻擊目標分別為Yapizon（韓國，損失3816 BTC，合530萬美元）、Coinis（韓國，損失不詳）、YouBit（韓國，損失17%資產）、Coincheck（日本，損失5.23億NEM，合5.34億美元）、Bithumb（韓國，損失3200萬美元），五次攻擊獲利總額高達5.71億美元。（Decrypt）[2020/6/20]

Tags：STASTAK區塊鏈NCEbitstamp可靠嗎PSTAKE區塊鏈幣種類Rin Finance Coin

Gate.io