今日早间,基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes72小时。综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db,此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。成都链安认为,本次事件的根本原因在于,没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
区块链安全公司CertiK发布去中心化安全预言机:区块链安全公司CertiK(CTK)发布基于CertiK链的去中心化安全预言机,旨在有效减少链上交易与实时安全检测之间的距离,致力于运用去中心化的方法来解决安全难点。CertiK安全预言机可以应用于任何支持智能合约功能的区块链平台(如以太坊)。CertiK链在其业务区块链上部署了安全预言机的公共入口,以接收来自DeFi应用程序的安全查询,为即将进行的交易提供信息。用户可以轻松访问安全预言机、查询即将进行的交易,并获得实时的安全情报。另外,CertiK提出的解决方案都将使用CertiK链上的原生代币CTK来维护预言机网络的正常运转。[2020/9/8]
动态 | 区块链安全公司:2019年加密货币犯罪激增,截止9月底损失达44亿美元:金色财经报道,区块链安全公司CipherTrace的报告显示,与去年相比,2019年加密货币盗窃案激增,有更多的资金流经数字交易所。今年前九个月,数字货币犯罪造成的损失增至44亿美元,比2018年全年的17亿美元增长了150%以上。CipherTrace表示,今年的激增主要源自两次大规模事件。其中一项欺诈事件是,用户和客户因涉及加密钱包和交易所PlusToken的庞氏局而损失了29亿美元。另一起重大欺诈事件是加拿大加密货币交易所QuadrigaCX因其联合创始人兼首席执行官Gerald Cotten去世而导致的客户损失1.95亿加元。[2019/11/28]
网络安全公司Recorded Future:莱特币将成为下一个暗网世界主导货币:美国网络安全公司Recorded Future称,莱特币将成为下一个暗网世界主导货币。[2018/2/8]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。