EFI:YFV勒索事件分析：DeFi需做好上线前的代码审计工作_Hest Stake

作者：

时间：

YFV是基于以太坊的一个DeFi项目，今天早些时候，YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相关，勒索者极有可能是在『pool0』事件中未取回资金的『愤怒的农民』。

漏洞分析

新加坡WBF交易所将于9月4日正式上线YFV:据官方消息显示，新加坡时间2020年9月4日，WBF交易所将正式上线YFV，并于当日16时在DeFi区上线YFV/USDT交易对。

YFV是YFValue协议的管理令牌。该项目旨在通过其独特功能（包括供应通货膨胀率的投票和自动转介系统），为所有用户提供真正的农业金融价值。[2020/9/4]

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，如下图所示：

Yfv Finance宣布完成YFV协议的审计工作：未发现关键性问题:Yfv Finance宣布，The Arcadia Group已在预计时间内完成了YFV协议的审计工作。审计由Arcadia的工程师Minh Khai Do进行，总结由Rasikh Morani和Joel Farris进行。评估确定了与代码质量和健康状况相关的少量低严重性问题。没有发现高严重性或关键性问题。

8月25日消息，yfv Finance团队发布公告称，团队于昨日发现YFV Staking池中存在一个漏洞，恶意参与者可通过该漏洞对质押中的YFV计时器进行单独重置。目前，已有某个恶意参与者试图借此敲诈团队。对此，Yfv Finance决定：

1. 通知质押用户停止在当前的staking pool中质押YFV，并在计时器允许的情况下尽快取出资金。

2. 在下一个epoch销毁当前的YFV staking pool。这将相当于15%的供应销毁。如果社区想要一个新的staking pool，团队会尽快制定一个新的迁移计划。

3. 目前被困在池中的资金，团队已制定解救计划，但出于安全考虑目前不会披露。

4. 将使用发展基金（约30万YFV），补偿受计时器重置攻击影响的用户。[2020/8/30]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示：

Yfv Finance：用户需停止在当前的staking pool中质押YFV，并提取资金:Yfv Finance团队今日发布公告称，团队于昨日发现YFV Staking池中存在一个漏洞，恶意参与者可通过该漏洞对质押中的YFV计时器进行单独重置。目前，已有某个恶意参与者正试图借此敲诈团队，团队已确认这个恶意行为者是一个心怀怨恨的farmer。尽管团队不断地通知和提醒，该恶意参与者还是没有在UTC时间7点52分关闭前将其资金从Pool 0中取出。当听说团队决定把是否拯救其资金的决定留给社区时，该恶意参与者决定诉诸威胁和勒索。

对此，Yfv Finance决定：

1. 通知所有质押用户停止在当前的staking pool中质押YFV，并在计时器允许的情况下尽快取出他们的资金。

2. 在下一个epoch（预计GMT时间8月28日下午2:00:38）销毁当前的YFV staking池。这将相当于15%的供应销毁。如果社区想要一个新的注池，我们会尽快制定一个新的迁移计划。

3. 目前被困在池中的救助资金。团队已经制定了一项解救计划，但出于安全考虑目前不会披露。

4. 将使用发展基金（约30万YFV），补偿任何受到计时器重置攻击而无法从救援计划中受益的社区成员。[2020/8/25]