成都链安：YFV勒索事件分析

YFV是基于以太坊的一个DeFi项目，今天早些时候，YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。

并表示，此次事件可能和不久前的“pool 0”事件相关，勒索者极有可能是在“pool 0”事件中未取回资金的“愤怒的农民”。?

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，如下图所示：

KingData监控：灰度ZEC基金增持8730.39枚ZEC:据KingData数据显示，灰度ZEC基金增持8730.39枚ZEC，基金持仓总规模变为34.17万枚ZEC。(注：灰度暂未开放赎回，小幅减持或因每股含币量微调、扣减管理费所致。)[2021/9/18 23:34:09]

此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes[account]+72小时。如下图所示：

跨链和NFT平台Antsy将集成Chainlink VRF、喂价和电竞数据预言机:官方消息，跨链和NFT平台Antsy将集成Chainlink VRF、喂价和电竞数据预言机。使用户能够创建动态NFT，以及在各种区块链之间买卖这些NFT。[2021/2/10 19:27:33]

UnfrozenStakeTime如下图所示：

GUSDT钜达币上线WBF交易所, 16天涨幅达2574%:据新加坡WBF交易所行情数据显示, 截止2021年1月2日9:20, GUSDT当前币价26.74U, 距2020年12月18日开盘价(1U), 累计上涨2574%, 期间最高涨幅超3000%.

GUSDT钜达币是由GIB环球投资数字银行特别发行的平台生态币, 于12月18日上线新加坡WBF交易所. GUSDT可作为任何服务进行交互的初始货币，持有人将能够自由参与GIB未来提供的任何服务或产品。[2021/1/2 16:15:26]

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。

根据链上信息，我们找到了两笔疑似攻击的交易，如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示：

此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

标签：LINKINKIMETIMLINKA TokenSprinkleCoiniMe LabAntimony coin

TRX热门资讯