安全公司:YFV项目勒索事件的根本原因在于没有做好上线前的代码审计工作_STA:stake币前景

今日早间,基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes72小时。综上所述,恶意用户可以向正常用户抵押小额的资金,从而锁定正常用户的资金。根据链上信息,我们找到了两笔疑似攻击的交易,如下所示:0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db,此两笔交易都来自同一地址,且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。成都链安认为,本次事件的根本原因在于,没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

区块链安全公司 Forta 推出原生代币 FORT:6月16日消息,区块链安全公司 Forta 推出原生代币 FORT,旨在增加安全研究人员监控区块链网络的动力。Forta 最初是区块链网络安全初创公司 OpenZeppelin 中的一个项目,但随后与该公司剥离并正在探索 DAO 以变得更加去中心化。去年 9 月,Forta 从 Andreessen Horowitz、Coinbase Ventures、Blockchain Capital 等公司筹集了 2300 万美元,许多主要的区块链项目(如 Compound 、Polygon)已经在使用 Forta 来检测 Ethereum、Avalanche 和各种侧链上的活动。FORT 目前的总供应量为 10 亿,FORT 的持有者将能够使用该代币对治理提案进行投票,团队尚未公开分享代币供应分配计划。[2022/6/16 4:30:25]

安全公司:Greatest Of All Tokens项目发生Rug Pull,损失达25万美元:5月9日消息,据派盾监测,Greatest Of All Tokens项目发生Rug Pull,开发者出售大量G.O.A.T代币并获利约25万美元(~100枚ETH)。[2022/5/9 3:00:44]

消息人士:马斯克计划针对推特某些部门裁员高达30%:金色财经报道,消息人士向Axios透露,在解雇了推特的大部分高级管理团队后,马斯克计划从本周末开始针对特定部门削减至多30%的员工,其中产品部门将裁员15-30%以上。据悉,裁员预计将在11月1日之前进行,届时大多数员工的季度股票期权都将在11月1日兑现。[2022/10/31 11:58:55]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:6ms0-9:362ms