木星链 木星链
Ctrl+D收藏木星链

CVP:YFV勒索事件分析:DeFi需做好上线前的代码审计工作

作者:

时间:1900/1/1 0:00:00

YFV是基于以太坊的一个DeFi项目,今天早些时候,YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。

并表示,此次事件可能和不久前的『pool0』事件相关,勒索者极有可能是在『pool0』事件中未取回资金的『愤怒的农民』。

火币将于9月9日上线YFII、SUSHI、YFV、PEARL、GXC和TRB永续合约:据火币合约官方公告,火币合约将于新加坡时间9月9日16点上线YFII(DFI.Money)、SUSHI(Sushi)、YFV(YFValue)、PEARL(Pearl)、GXC(GXChain)和TRB(Tellor)永续合约,13点开启资金划转,16点正式交易,支持1x-75x倍数。

此前,火币永续合约已涵盖BTC、ETH、LINK、CRV等在内的四十九大主流热门币种。据悉,新上线的六大热门币种永续合约均无交割日期,合约面值均为10美元/张,合约标的均为其对应数字资产的现货美元指数,且每8小时结算一次,结算时间戳分别为4:00、12:00和20:00(GMT+8),用户已实现盈利在结算后可立即提取。详情请查看火币合约官网公告。[2020/9/8]

漏洞分析

BiKi平台将于9月1日上线YFV、CVP:据官网公告,BiKi平台将于9月1日上线YFV、CVP,充值均已开放,9月1日18:00(GMT+8)开放YFV/USDT交易、提现;9月1日19:00(GMT+8)开放CVP/USDT交易、提现;上线同时将开通YFV、CVP的网格交易,24小时不间断稳定套利,不错过行情。

?YFV是YFValue协议的管理令牌。该项目旨在通过其独特功能(包括供应通货膨胀率的投票和自动转介系统),为所有用户提供真正的增产农业融资价值。

?PowerPool是一个集中各个DeFi?应用中的治理权力的新协议。个人持有COMP、LEND、YFI等某种DeFi代币时,几乎不会对该DeFi应用产生任何实质性的影响;但用户将DeFi代币存入该协议,由?PowerPool?汇集之后,代币的治理能力将汇聚成为重要的投票力量。PowerPool的代币?CVP?决定这股力量如何投票,普通用户通过加入PowerPool?这种类似政党的“元治理”结构来协调、影响甚至控制整个行业中?DeFi?的应用。[2020/9/1]

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,如下图所示:

火币全球观察区上线 YFV和YAMV2:据官网公告,火币全球站“全球观察区”将于9月1日16:00 开放 YFV (YFValue) 币币交易,17:30 开放YAMV2 (YAMv2)币币交易。目前火币已开放YFV和YAMV2的充币业务。

据悉,火币全球站为深入挖掘高潜项目,聚焦行业优质资源,在“主板”区域内全新设立“全球观察区”,并引入单币种持仓限额制度。[2020/9/1]

OKEx于9月1日上线SUSHI,YFV,CVP:据OKEx官方公告,OKEx将上线SUSHI, YFV, CVP,具体时间如下:

1.充值时间:香港时间9月1日 15:00。

2.交易时间:香港时间9月1日 18:00 开放SUSHI/USDT, YFV/USDT, CVP/USDT的市场交易;香港时间9月1日 19:00 开放SUSHI/ETH, YFV/ETH, CVP/ETH的市场交易。

3.提现时间:香港时间9月6日 17:00 SUSHI, YFV, CVP提现 。

由于SUSHI, YFV, CVP项目较新,价格波动较大,为了避免用户非理性交易,降低用户风险,每个用户买入该代币的限额为20000美金。[2020/9/1]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示:

UnfrozenStakeTime如下图所示:

综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。

根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示:

此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

总结

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

标签:CVPSHISUSHIUSHcvp币价格CryptoShipsXSUSHI3X Short Sushi Token

币安app官方下载最新版热门资讯
比特币:“耐心”游戏:经济不确定性下的比特币

本文来自?Cointelegraph,原文作者:SHIRAZJAGATI译者|念银思唐随着过去几个月比特币承诺的价格突破未能实现的传闻持续升温.

1900/1/1 0:00:00
比特币:3大关键指标显示:尽管1.2万美元为阻力位,但多头仍控制着比特币价格

比特币价格本周下跌了10%,虽然这对于日内交易者来说可能是可怕的,但3日图显示下行趋势几乎不会对当前市场结构造成任何影响。考虑到比特币在过去的13个月中没有触及1.25万美元,这一点尤其正确.

1900/1/1 0:00:00
区块链:盘点 | 成都链安:8月发生较典型安全事件超『39』起,DeFi风险初见端倪

据成都链安『安全态势感知系统』数据监测显示:在过去的8月中,整个区块链生态所面临的安全形势十分严峻,不完全统计,总共发生了超39起较典型的安全事件,属2020年度内目前单月数量最高.

1900/1/1 0:00:00
去中心化金融:观察丨DeFi“货币乐高”属性能持续推动创新吗?

来源:金色财经,作者:Jason我们知道传统的金融系统有着许可性、入场门槛较高、额外法律成本等特征,因此在可组合性方面受到较大限制.

1900/1/1 0:00:00
区块链:银行热衷拿区块链专利,背后有何意图?

本文来源:北京商报北京商报记者岳品瑜宋亦桐国有大行在区块链技术布局方面动作频频。8月20日,北京商报记者注意到,近日工商银行、中国银行悄然公布了多项区块链相关专利,主要涉及终端数据的升级、文档进.

1900/1/1 0:00:00
THE:解读 | 锁仓量激涨超二十倍,没有爆仓清算的衍生品平台Synthetix

来源:哈希派作者:LucyCheng摘要??从2019年开始,去中心化金融市场以惊人的速度快速增长,近一年时间里DeFi锁仓量飙涨六倍,当前该数据已接近$70亿,相关代币总市值超110亿美元.

1900/1/1 0:00:00