欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(OKX)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

成都链安:YFV勒索事件分析

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的“pool 0”事件相关,勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。 

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

过去一年开采出334,668.75个新比特币进入可流通状态:金色财经报道,在过去的12个月里,比特币挖矿难度增加了85.77%,开采了53,547个区块,铸造了334,668.75个新比特币进入流通。在过去的六年里,比特币挖矿难度一共增加了22,900%,虽然整体算力增加,但每年开采比特币的数量少了很多。[2022/9/11 13:22:03]

此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示:

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

欧易交易所

狗狗币内蒙古突然划出21家矿场 暂停参与电力多边交易 电费或增长1/3

吴说区块链独家获悉,24日内蒙古工信厅向内蒙古电力(集团)有限责任公司发布《关于挖矿企业参与内蒙古电力多边交易市场相关事宜的通知》。 通知称,在2019年底对7个盟市30家大数据、云计算企业开战了现场核查,发现挖矿企业21户,要求暂停参与特色产业挂牌交易资格,对于不再进行挖矿的企业核实后进行恢复。

UniswapFilecoin经济报告(全文):代币经济模型设计的原理

金色财经8月28日讯 分布式存储项目Filecoin(FIL)正式发布了一份长达32页的Filecoin经济报告,详细阐述了代币经济模型设计的原理和细则。按照Filecoin代币分配细则,Filecoin代币总量为20亿枚,5%分配给Filecoin基金会,10%用于融资,15%分配给协议实验室,70%分配给矿工。

[0:15ms0-0:515ms