Chengdu Lianan: Análisis del incidente de extorsión de YFV

YFV es un proyecto DeFi basado en Ethereum.Hoy temprano, YFV emitió oficialmente un documento que indica que fue chantajeado. El atacante puede usar la vulnerabilidad del contrato de replanteo para restablecer el YFV bloqueado por el usuario de forma arbitraria.

Y dijo que este incidente puede estar relacionado con el incidente del "grupo 0" no hace mucho tiempo, y que el chantajista probablemente sea un "granjero enojado" que no recuperó los fondos en el incidente del "grupo 0". la

Hay una función stakeOnBehalf en el contrato para que el atacante pueda apostar por cualquier usuario, como se muestra en la siguiente figura:

Director de Tecnología de Aptos: Actualmente hay más de 200 proyectos construidos en Aptos: El 20 de septiembre, en la 8.ª Cumbre Global de Blockchain organizada por Wanxiang Blockchain Labs, el cofundador y director ejecutivo del Oficial Técnico de Aptos, Avery Ching, pronunció un discurso de apertura sobre "Aptos Blockchain: Infraestructura Web3 segura, escalable y actualizable". En la actualidad, hay más de 200 proyectos construidos en Aptos, y se planea lanzar más de 70 proyectos NFT. Hay 3.5 millones de transacciones en la red todos los días, con un promedio de más de 40 transacciones cada 7 segundos. [2022/9/20 7:07:40]

Investigación: La introducción temprana de la moneda digital del banco central podría otorgar a los emisores una importante ventaja inicial: noticias del 20 de noviembre, según un estudio del Banco Central Europeo, para los bancos centrales que están considerando emitir monedas digitales, completar la emisión lo antes posible puede ser beneficioso Hay ventajas. Los investigadores Massimo Minesso Ferrari, Arnaud Mehl y Livio Stracca descubrieron que un país sin una moneda digital se vería obligado a responder con más fuerza a los efectos secundarios de los países que sí tienen dicha herramienta, perdiendo el control de su política monetaria. Ellos predicen que tales efectos indirectos internacionales serán "muy magnificados" en las economías abiertas, ya que las cualidades de las monedas digitales, similares al efectivo y a los activos, serán atractivas para los inversores. "La introducción temprana de las monedas digitales del banco central podría conferir una importante ventaja de ser pioneros a sus emisores", escribieron los autores (Bloomberg) [2020/11/20 21:27:05].

La instrucción lastStakeTimes[stakeFor] = block.timestamp; en esta función actualiza laseStakeTimes[user] del mapa de direcciones de usuario. Y hay verificación en la función utilizada por el usuario para retirar la hipoteca, que requiere que el usuario retire el tiempo debe ser mayor que lastStakeTimes[cuenta]+72 horas. Como se muestra abajo:

UnfrozenStakeTime se muestra en la siguiente figura:

En resumen, los usuarios maliciosos pueden hipotecar pequeñas cantidades de fondos a los usuarios normales, bloqueando así los fondos de los usuarios normales.

Según la información de la cadena, encontramos dos presuntos ataques, así:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

Uno de ellos se muestra en la siguiente imagen:

Estas dos transacciones son de la misma dirección y ambas son extremadamente pequeñas. A partir de esto, básicamente podemos determinar que se trata de una transacción para probar el problema del interbloqueo.

Para este incidente, la causa principal es que el trabajo de auditoría del código antes de conectarse no se realizó bien. Este incidente es en realidad una laguna a nivel empresarial.

De acuerdo con la experiencia de Chengdu Lianan en auditoría de código, las partes individuales del proyecto no proporcionaron información completa relacionada con el proyecto al realizar auditorías de código, lo que hizo que las auditorías de código no pudieran encontrar algunas lagunas comerciales, lo que resultó en grandes pérdidas después de conectarse.

El laboratorio de seguridad de Chengdu Lianan recuerda a todas las partes del proyecto: la seguridad es la piedra angular del desarrollo y una buena auditoría de código es un requisito previo para estar en línea.

Tags：

ADA