安全公司：YFV项目勒索事件的根本原因在于没有做好上线前的代码审计工作

今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes72小时。综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。成都链安认为，本次事件的根本原因在于，没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

安全公司：DeFi借贷协议Cream Finance攻击者再次转移约200万美元:据成都链安链必追平台监测显示，DeFi借贷协议Cream Finance攻击者再次转移200万美元。攻击者先将 2,000,000 DAI （价值约200万美元）通过Curve Finance兑换为83个BTC，再将83个BTC转移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址，昨日，攻击者转移约300万美元，两天已转移约500万美元，成都链安安全团队将持续对新地址的资金进行分析和追踪。据悉，2021年10月，DeFi抵押借贷协议Cream Finance遭遇闪电贷攻击，损失1.3亿美元。[2022/7/20 2:26:15]

SumSwap V3 代码开发完毕，已交付给安全公司Certik审计:据官方消息，创新型去中心化协议SumSwap V3 代码已开发完毕，新版本合约拥有丰富多样的功能，除了对以前功能的优化外，还包括交易挖矿、推荐返手续费等众多新功能。新版本已经开发完毕并进行了完整的功能测试，目前SumSwap V3已交付给合约安全公司Certik审计，审计完成即可正式上线。[2021/9/2 22:55:26]

动态 | 加密安全公司Fireblocks宣布为OKEx等五家交易所提供支持:加密安全公司Fireblocks宣布将为五家新交易所提供支持，包括OKCoin、OKEx、Korbit、Bithub和HitBTC，这将使Fireblocks支持的交易所达到20家。（prnewswire）[2019/9/7]

标签：STASTAKNCEDEFSTAX币stake币局UrDEX Financedefi币有哪些

欧易交易所app官网下载热门资讯