STAK:成都链安：YFV勒索事件分析

YFV是基于以太坊的一个DeFi项目，今天早些时候，YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。

并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。?

漏洞分析

成都链安：fomo-dao项目遭受攻击，攻击者获利11万美元，目前已转至Tornado.cash:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，fomo-dao项目遭受攻击。攻击者地址:

0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a

攻击交易bsc：0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5

攻击合约:0xe62b2dfc54972354fac2511d8103c23883c746c4

目前攻击者获利11万美元，已经转至Tornado.cash[2022/6/4 4:01:44]

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，如下图所示：

成都链安CMO：交易所需建设一套完整的资金内控系统:3月11日晚8点，成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点：交易所需建设一套完整的资金内控系统，并对每笔资金的出入都应该做好审核和记录。此外他还指出，关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司，由前海母基金，联想创投，复星国际，分布式资本等知名企业和创投战略投资，电子科技大学杨霞教授，郭文生教授，高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动，不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes72小时。如下图所示：

分析 | 成都链安：钱包Safuwallet服务器是否存储了用户的私钥是关键:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事，成都链安在接受金色财经采访时指出：“safuwallet是第三方extension插件钱包，用户资产被盗，主要原因还是私钥被盗，发生了这样的问题，对于钱包服务器而言只要不存储用户的私钥，只做相关交易数据的处理的话，两者之间就没有关系，如果服务器存储了用户的私钥，那黑客就有可能通过攻击服务器获取到用户的私钥。推特消息称是safuwallet被注入了恶意代码，黑客可能先将恶意代码注入到safuwallet中，然后引诱受害者安装钱包，再获取到受害者的私钥后，进行相关代币的转移。事实上，对于非官方钱包，安全性确实不太好保障。对于此类钱包，私钥被盗的时间时有发生。对于这个事件，后续的影响主要是用户的损失、钱包和交易所的声誉。”[2019/10/12]

UnfrozenStakeTime如下图所示：

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。

根据链上信息，我们找到了两笔疑似攻击的交易，如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示：

此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

总结

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

标签：STASTAKTIMEWALpolkawallet切换astarpstake币怎么样time币上交易所了吗wal币怎么挖

酷币热门资讯