织梦CMS - 轻松建站从此开始!

比特币行情_okex_注册okex_比特币行情最新价格_比特币行情美元实时走势图_比特币行情走势图

当前位置: 主页 > 比特币行情走势图 >

区块链代码审计 一行代码如何锁定上亿资产

时间:2020-09-20 05:02来源:未知 作者:admin 点击:
广告位API接口通信错误,查看德得广告获取帮助

据链闻消息DeFi 项目 YFValue (YFV)发布公告称团队于昨日在 YFV 质押池中发现一个漏洞恶意参与者借此漏洞对质押中的 YFV 计时器单独重置。目前已有一个恶意参与者正试图借此勒索团队。慢雾安全团队对此进行了深入分析以下是相关技术细节。 从声明中我们可以得知是 YFV 抵押池出现了问题恶意的用户可重置 YFV 抵押者的计时器对 YFV 的抵押者造成不便但这并不会导致资金损失。通过登陆 YFValue 的官方网站 可以发现在 YFValue 的体系中用户可通过质押相关的代币获取对应的奖励目前 YFValue 支持的质押代币池可以看到Crypto Exchange 目前由于漏洞的原因YFV 的抵押池已经在 UI 界面关闭了抵押功能但是合约上目前还没关闭代币抵押的功能buy crypto我们需要跟踪代码来分析具体的细节点。根据官网提供的 Github 地址我们溯源到了相关的代码仓库关于 YFV 抵押的相关逻辑在YFV_Stake.sol 合约中合约中关于抵押的函数有 2 个分别是 stake 函数和 stakeOnBehalf 函数买比特币恶意的用户是怎么锁定其他用户的资产的呢?回到用户抵押的逻辑可以发现抵押逻辑中的 stakeOnBehalf 函数本意是帮助进行抵押但是这里有个问题如果这个用户先前已经有抵押了呢?那通过对已经抵押的用户再次进行抵押比方说抵押 1 个 YFV是不是就能以极低的成本重置已抵押的用户的计时器导致用户在 withdraw 时无法成功调用。更进一步假设 YFV 抵押用户已经成功调用了 stakeReward 函数在快要达到 unfrozenStakeTime 所规定的时间时恶意的用户可以通过 stakeOnBehalf 函数给这个用户抵押少量资产okex即可再次对抵押奖励进行锁定理论上这样往复循环即可使用户无法取出自己的资产但这个问题并不会导致资金损失。前车之鉴这是本月出现的第二个没有经过审计的 DeFi 项目所暴露出的风险根据 YFValue 的官方声明项目代码是由富有经验的开发者进行开发的同时借鉴了其他成功的项目的代码但是仍无可避免的出现了风险。术业有专攻安全审计一方面需要项目方的正向思维另一方面还是需要专业的安全团队的逆向思维从专业的黑客角度进行模拟对抗发现问题。修复方案通过分析代码和漏洞细节针对本次漏洞修复方案也很简单只要在抵押的时候检查用户的抵押状态是否为已经抵押如果已经抵押则不允许再次抵押。或者对每次的抵押进行单独的处理不能对先前的抵押状态产生影响。安全解决方案1交易所安全审计2钱包安全审计3链安全审计4智能合约安全审计5链盟安全解决方案6红队测试安全检测区块链威胁情报漏洞赏金防御部署安全顾问等等有效的安全服务一体化安全解决方案

徐坤 (责任编辑:admin)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
广告位API接口通信错误,查看德得广告获取帮助