USHI:YFV勒索事件分析：DeFi需做好上線前的代碼審計工作

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相關，勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

Gate.io完成YFV置換為VALUE代幣并上線VALUE交易:據官方公告，Gate.io已經完成將平臺用戶持倉YFV按照1：1比例置換為VALUE代幣，并已上線VALUE交易。請務必了留意市場行情變化，及時調整訂單。[2020/10/15]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

OKEx于9月1日上線SUSHI，YFV，CVP:據OKEx官方公告，OKEx將上線SUSHI, YFV, CVP，具體時間如下：

1.充值時間：香港時間9月1日 15:00。

2.交易時間：香港時間9月1日 18:00 開放SUSHI/USDT, YFV/USDT, CVP/USDT的市場交易；香港時間9月1日 19:00 開放SUSHI/ETH, YFV/ETH, CVP/ETH的市場交易。

3.提現時間：香港時間9月6日 17:00 SUSHI, YFV, CVP提現 。

由于SUSHI, YFV, CVP項目較新，價格波動較大，為了避免用戶非理性交易，降低用戶風險，每個用戶買入該代幣的限額為20000美金。[2020/9/1]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：

SUSHI、YFV、UMA上線24H最高漲幅191.15%:據Gate.io行情顯示，新交易對SUSHI/ USDT、YFV/ USDT、UMA/ USDT昨日上線后幣價持續暴漲，其中SUSHI領漲新交易對，24H最高漲幅達191.15%，當前漲幅120.70%，當前報價2.982美元；YFV 24H最高漲幅127.5%，當前漲幅67.93%，當前報價47.24美元；UMA 24H最高漲幅78.57%，當前漲幅57.61%，當前報價16.55美元。詳情見原文鏈接。[2020/8/31]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：USHISUSHISHIUSHTUSHI價格SushiBytesDrops Ownership PowerSUSHIBULL

歐易交易所