Chengdu Lianan: Análisis del incidente de extorsión de YFV

YFV es un proyecto DeFi basado en Ethereum.Hoy temprano, YFV emitió oficialmente un documento que indica que fue chantajeado. El atacante puede usar la vulnerabilidad del contrato de replanteo para restablecer el YFV bloqueado por el usuario de forma arbitraria.

Y dijo que este incidente puede estar relacionado con el incidente del "grupo 0" no hace mucho tiempo, y que el chantajista probablemente sea un "granjero enojado" que no recuperó los fondos en el incidente del "grupo 0". la

Hay una función stakeOnBehalf en el contrato para que el atacante pueda apostar por cualquier usuario, como se muestra en la siguiente figura:

Chengdu Lianan: El proyecto BAYC tiene el riesgo de ser acuñado infinitamente: según los datos de monitoreo de la opinión pública de seguridad de Chengdu Lianan, el proyecto BAYC tiene el riesgo de ser acuñado infinitamente. El equipo de seguridad de Chengdu Lianan analizó y descubrió que el propietario del contrato no es una billetera de múltiples firmas. El propietario del contrato puede llamar a la función reserveApes () para acuñar monedas. Cada vez que se llama a la función, se pueden acuñar directamente 30 Boring Apes NFT Si el propietario del contrato sufre ataques de phishing o filtraciones de claves privadas, etc., puede provocar la acuñación y venta de una gran cantidad de NFT. Más tarde, Chengdu Lianan continuará monitoreando el movimiento del propietario del contrato. [2022/6/6 4:04:55]

Chengdu Lianan: el proyecto fomo-dao fue atacado y el atacante obtuvo una ganancia de 110,000 dólares estadounidenses, que se transfirió a Tornado.cash: Golden Finance News, según la seguridad "Chain Bing - Blockchain Security Situational Awareness Platform" de Chengdu Lianan opinión pública Los datos de seguimiento muestran que el proyecto fomo-dao ha sido atacado. Dirección del atacante:

0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a

Transacción de ataque bsc: 0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5

Contrato de ataque: 0xe62b2dfc54972354fac2511d8103c23883c746c4

En la actualidad, el atacante ha obtenido una ganancia de 110.000 dólares estadounidenses, que ha sido transferida a Tornado.cash[2022/6/4 4:01:44]

La instrucción lastStakeTimes[stakeFor] = block.timestamp; en esta función actualiza laseStakeTimes[user] del mapa de direcciones de usuario. Y hay verificación en la función utilizada por el usuario para retirar la hipoteca, que requiere que el usuario retire el tiempo debe ser mayor que lastStakeTimes[cuenta]+72 horas. Como se muestra abajo:

Bytom se une a Chengdu Lianan Technology para construir conjuntamente un nuevo ecosistema de seguridad de cadena de bloques: Recientemente, la Fundación Bytom y Chengdu Lianan Technology firmaron un acuerdo de cooperación estratégica. Las dos partes llegarán a una intención de cooperación preliminar en el campo de la tecnología de seguridad blockchain. En el futuro, Chengdu Lianan Technology proporcionará a Bytom Chain una verificación de seguridad formal de la plataforma subyacente, desarrollo de contratos inteligentes, auditoría, verificación de seguridad y otros servicios para garantizar que Bytom Chain Security, corrección funcional de la plataforma y contratos inteligentes. [2018/5/10]

UnfrozenStakeTime se muestra en la siguiente figura:

En resumen, los usuarios maliciosos pueden hipotecar pequeñas cantidades de fondos a los usuarios normales, bloqueando así los fondos de los usuarios normales.

Según la información de la cadena, encontramos dos presuntos ataques, así:

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

Uno de ellos se muestra en la siguiente imagen:

Estas dos transacciones son de la misma dirección y ambas son extremadamente pequeñas. A partir de esto, básicamente podemos determinar que se trata de una transacción para probar el problema del interbloqueo.

Para este incidente, la causa principal es que el trabajo de auditoría del código antes de conectarse no se realizó bien. Este incidente es en realidad una laguna a nivel empresarial.

De acuerdo con la experiencia de Chengdu Lianan en la auditoría de código, las partes individuales del proyecto no proporcionaron información completa relacionada con el proyecto al realizar auditorías de código, lo que hizo que las auditorías de código no pudieran encontrar algunas lagunas comerciales, lo que resultó en grandes pérdidas después de estar en línea.

El laboratorio de seguridad de Chengdu Lianan recuerda a todas las partes del proyecto: la seguridad es la piedra angular del desarrollo y una buena auditoría de código es un requisito previo para estar en línea.

Tags：

Luna