TIME:YFV勒索事件分析：DeFi需做好上线前的代码审计工作_STAMP币

YFV是基于以太坊的一个DeFi项目，今天早些时候，YFV官方发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相关，勒索者极有可能是在『pool0』事件中未取回资金的『愤怒的农民』。

漏洞分析

OKEx上线YFV、BAND杠杆交易、余币宝及永续合约:据官方消息，OKEx于香港时间9月7日15:00在网页端、APP端及API正式上线YFV、BAND的杠杆交易、余币宝及YFVUSDT、BANDUSDT永续合约。据悉，当前OKEx永续合约除十大主流币(BTC/ETH/EOS/LTC/BCH/XRP/ETC/BSV/TRX/LINK)外，其他币种挂单零费率，且最高返佣0.035%。[2020/9/7]

合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，如下图所示：

美国国会研究人员：立法者需考虑数字货币立法将如何影响美元:金色财经报道，美国国会研究服务局在其题为“美元作为世界主要储备货币”的报告中称，不断增长的加密货币空间的影响并没有引起任何与美元地位有关的重大担忧。报告承认，尽管“加密货币仍然是一个小而动荡的利基市场”，但中央银行数字货币（CBDC）正在兴起。报告指出，迄今为止，尚无证据表明美元已脱离主要储备货币。但是，国会不妨考虑一下包括制裁和数字货币在内的一系列政策领域的立法将如何影响美元。[2020/12/22 16:03:19]

声音 | 美国国会议员：摆脱美国证券交易委员会，让市场监管加密货币:据cryptodaily报道，美国国会议员Ron Paul表示，“我会建议让市场监管加密货币。”他表示，如果有腐败发生，政府才应该介入。理想状态是摆脱SEC，让市场监管加密货币。[2019/5/14]

此函数中的lastStakeTimes=block.timestamp;语句会更新用户地址映射的laseStakeTimes。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes+72小时。如下图所示：

UnfrozenStakeTime如下图所示：

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。

根据链上信息，我们找到了两笔疑似攻击的交易,如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一笔如下图所示：

此两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。

总结

针对于本次事件，究其根本原因，还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验，个别项目方在进行代码审计时，未提供完整的项目相关资料，使得代码审计无法发现一些业务漏洞，导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方：安全是发展的基石，做好代码审计是上线的前提条件。

标签：STASTAK加密货币TIMESTAMP币Invest Like Stakeborg Index加密货币手法time币上交易所了吗

TUSD热门资讯