STA:安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_STAK

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

安全公司：Greatest Of All Tokens項目發生Rug Pull，損失達25萬美元:5月9日消息,據派盾監測，Greatest Of All Tokens項目發生Rug Pull，開發者出售大量G.O.A.T代幣并獲利約25萬美元（~100枚ETH）。[2022/5/9 3:00:44]

動態 | 安全公司Fireblocks目前每月轉移超25億美元的加密貨幣:據Cointelegraph消息，加密安全公司Fireblocks宣布，它目前每月轉移超過25億美元的加密貨幣。自從6月份A輪融資籌集了1600萬美元以來，客戶增加了400％，加密傳輸體量月增長150％。[2019/11/27]

動態 | 安全公司：InnfiRAT惡意軟件潛伏在機器中竊取加密貨幣錢包數據:研究人員記錄了一種新特洛伊木馬程序的出現，該木馬程序專門竊取與加密貨幣相關的數據。InnfiRAT惡意軟件包括許多標準的特洛伊木馬功能，但會專門潛伏在受感染的系統中尋找加密錢包憑證。新木馬還將從打開的瀏覽器會話中獲取信息。網絡安全公司zScaler周四表示，用.NET編寫的InnfiRAT很可能通過包含惡意附件或隱藏下載的網絡釣魚電子郵件傳播。 （ZDNet）[2019/9/14]

Tags：STASTAK加密貨幣ESTStarCreditsMarinade staked SOLhtb幣加密貨幣能退款嗎GameStop tokenized stock FTX

ICP