Chengdu Lianan: Análisis del incidente de extorsión de YFV

YFV es un proyecto DeFi basado en Ethereum.Hoy temprano, YFV emitió oficialmente un documento que indica que fue chantajeado. El atacante puede usar la vulnerabilidad del contrato de replanteo para restablecer el YFV bloqueado por el usuario de forma arbitraria.

Y dijo que este incidente puede estar relacionado con el incidente del "grupo 0" no hace mucho tiempo, y que el chantajista probablemente sea un "granjero enojado" que no recuperó los fondos en el incidente del "grupo 0". la

Hay una función stakeOnBehalf en el contrato para que el atacante pueda apostar por cualquier usuario, como se muestra en la siguiente figura:

Citi Trials Blockchain Bill of Lading for Trade Finance: Jinse Finance informó que la plataforma de comercio blockchain TradeLens anunció que Citi ha probado transacciones comerciales sin papel para el cliente Syngenta Bangladesh. Los agroquímicos se importan de India a Bangladesh a través de conocimientos de embarque electrónicos (eBL) que se utilizan para respaldar cartas de crédito de financiación comercial. TradeLens se utiliza para compartir y verificar todos los documentos, incluidos eBL, facturas, listas de embalaje y certificados de origen. La verificación digital de documentos también reduce el riesgo de conocimientos de embarque fraudulentos. (ledgersights) [2022/9/20 7:08:48]

El cofundador de 1inch admitió que la dirección del equipo recibió 363 000 tokens de airdrop de 1INCH: el 29 de diciembre, en el grupo Telegram, algunos internautas cuestionaron el protocolo de agregación DeFi de 1inch Airdrop tokens. El cofundador y director ejecutivo de 1 pulgada, Sergej Kunz, respondió a esto. Afirman que la tarifa de la transacción es para mantener el servidor. El servidor de 1 pulgada es muy costoso, alrededor de 100 servidores, cada uno con 64 núcleos de CPU y 128 GB de RAM, y 1 pulgada tiene 33 personas para mejorar continuamente la definición y el desarrollo. Además, 1 pulgada debe probar la gobernanza en producción para evitar problemas. La billetera hizo algunas interacciones a 1 pulgada. 1inch recibió 363,000 tokens de 1INCH porque olvidó excluir la dirección de la billetera de la lista de airdrop. [2020/12/29 15:58:33]

La instrucción lastStakeTimes[stakeFor] = block.timestamp; en esta función actualiza laseStakeTimes[user] del mapa de direcciones de usuario. Y hay verificación en la función utilizada por el usuario para retirar la hipoteca, que requiere que el usuario retire el tiempo debe ser mayor que lastStakeTimes[cuenta]+72 horas. Como se muestra abajo:

UnfrozenStakeTime se muestra en la siguiente figura:

En resumen, los usuarios maliciosos pueden hipotecar pequeñas cantidades de fondos a los usuarios normales, bloqueando así los fondos de los usuarios normales.

Según la información de la cadena, encontramos dos presuntos ataques, así:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

Uno de ellos se muestra en la siguiente imagen:

Estas dos transacciones son de la misma dirección y ambas son extremadamente pequeñas. A partir de esto, básicamente podemos determinar que se trata de una transacción para probar el problema del interbloqueo.

Para este incidente, la causa principal es que el trabajo de auditoría del código antes de conectarse no se realizó bien. Este incidente es en realidad una laguna a nivel empresarial.

De acuerdo con la experiencia de Chengdu Lianan en auditoría de código, las partes individuales del proyecto no proporcionaron información completa relacionada con el proyecto al realizar auditorías de código, lo que hizo que las auditorías de código no pudieran encontrar algunas lagunas comerciales, lo que resultó en grandes pérdidas después de conectarse.

El laboratorio de seguridad de Chengdu Lianan recuerda a todas las partes del proyecto: la seguridad es la piedra angular del desarrollo y una buena auditoría de código es un requisito previo para estar en línea.

Tags：

LTC