STA:安全公司：YFV项目勒索事件的根本原因在于没有做好上线前的代码审计工作_TIME

今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes72小时。综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。成都链安认为，本次事件的根本原因在于，没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

安全公司：超过280个区块链面临“零日”漏洞的风险，至少价值250亿美元:3月14日消息，据网络安全公司Halborn表示，估计有280个或更多区块链网络面临“零日”漏洞利用的风险，这些漏洞可能会使至少价值250亿美元的加密货币面临风险。

Halborn概述了三个漏洞，其中“最关键”的漏洞允许攻击者“向各个节点发送精心设计的恶意共识消息，导致每个节点关闭”。它随着时间的推移添加了这些消息，可能会使区块链暴露于51%的攻击中，攻击者控制网络的大部分挖矿哈希率或质押代币以制作新版本的区块链或使其离线。其他“零日漏洞”将允许潜在的攻击者通过发送远程过程调用 (RPC) 请求来破坏区块链节点。[2023/3/14 13:03:06]

安全公司CertiK提醒已确认NoaSwap由集团运营:官方消息，安全公司CertiK表示，已确认NoaSwap由负责SheepSwap的同一集团运行。CertiK提醒用户保持警惕。[2021/4/11 20:07:42]

动态 | IDEX与网络安全公司合作推行防钓鱼应用解决方案:据BitcoinExchangeGuide报道，IDEX宣布与Phish Fort合作，后者将为IDEX提供一种专用于高风险金融行业的防御解决方案，从而能够回溯、检测并删除存在潜在威胁的钓鱼应用程序、网站、聊天机器人等，以防止钓鱼攻击。[2018/8/29]

标签：STASTAKSTAKETIMEASTAX币PSTAKE币StakeNetTime Bank Token

SAND热门资讯