YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。
并表示,此次事件可能和不久前的『pool0』事件相关,勒索者极有可能是在『pool0』事件中未取回资金的『愤怒的农民』。
MXC抹茶考核区上线VALUE(YFValue),开放USDT交易:据MXC抹茶官方公告,10月6日15:00,MXC抹茶考核区上线VALUE(YFValue),开放USDT交易市场,现已开放VALUE充值与提现。同时,MXC抹茶将第一时间支持YFV兑换为VALUE。
资料显示,VALUE 将具有与 YFV 相同的价格和治理能力,但 VALUE 将允许 YFValue 协议不断发展。VALUE 作为当前 YFV 令牌的技术升级,值可视为 YFV v2。详情请点击原文链接。[2020/10/6]
漏洞分析
聚币Jubi已于9月2日16:00上线YFV/USDT及YAMV2/USDT:据官方消息,聚币Jubi已于2020年9月2日16:00(UTC+8)上线考察区币种YFV及YAMV2,开放YFV /USDT及YAMV2/USDT交易市场。
YFV是YFValue协议的管理通证。该项目旨在通过其独特功能包括供应通货膨胀率的投票和自动转介系统,为所有用户提供真正的增产农业融资价值。
YAM的核心是一种弹性的供应加密货币,可根据市场情况扩展和收缩供应。yam.finance未来将完全由YAM持有者管理社区。YAM代币是Yam 协议的核心,该代币具有弹性供应的特点,供应量会根据市场情况增加或减少。YAMv2只做迁移使用,YAM用户可以通过合约销毁老的YAM币而获得新的YAMv2币,兑换比例按原始数量计算,不受YAM的rebase影响。[2020/9/2]
合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:
火币全球观察区上线 YFV和YAMV2:据官网公告,火币全球站“全球观察区”将于9月1日16:00 开放 YFV (YFValue) 币币交易,17:30 开放YAMV2 (YAMv2)币币交易。目前火币已开放YFV和YAMV2的充币业务。
据悉,火币全球站为深入挖掘高潜项目,聚焦行业优质资源,在“主板”区域内全新设立“全球观察区”,并引入单币种持仓限额制度。[2020/9/1]
SUSHI、YFV、UMA上线24H最高涨幅191.15%:据Gate.io行情显示,新交易对SUSHI/ USDT、YFV/ USDT、UMA/ USDT昨日上线后币价持续暴涨,其中SUSHI领涨新交易对,24H最高涨幅达191.15%,当前涨幅120.70%,当前报价2.982美元;YFV 24H最高涨幅127.5%,当前涨幅67.93%,当前报价47.24美元;UMA 24H最高涨幅78.57%,当前涨幅57.61%,当前报价16.55美元。详情见原文链接。[2020/8/31]
此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:
UnfrozenStakeTime如下图所示:
综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。
根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一笔如下图所示:
此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。
总结
针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。
根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。
成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。