安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_EFI

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

區塊鏈安全公司Halborn完成9000萬美元A輪融資，Summit Partner領投:7月19日消息，區塊鏈安全公司Halborn完成9000萬美元A輪融資，Summit Partner領投，Castle Island Ventures, Digital Currency Group、Brevan Howard等參投。Halborn拒絕透露其估值。（彭博社）[2022/7/19 2:23:56]

安全公司：Jump Satoshi Token項目中留有后門，處于高風險狀態，請用戶及時提取資產:金色財經消息，據成都鏈安技術團隊分析，發現Jump Satoshi Token項目中留有后門，項目方可以通過合約中的Approve函數更改代碼實現地址。項目方的后門權限地址為0x23A15A374B0f5f20625B7D53666dF1Fe82b2916f，并已將實現地址更改為0x7d62b05bdf8fa07d8b3b8b9f315371aa91098f58。目前WBNB-JST交易池中存有3681586個WBNB，并處于高風險狀態。請用戶及時提取資產，以避免項目方利用后門盜取資產。[2022/4/26 5:12:38]

波卡DeFi公鏈RioDeFi技術代碼通過安全公司Certik審計:網絡安全公司Certik剛剛發布了他們對RioDeFi技術代碼的審計報告， CertiK還對RioDeFi以及RioDeFi錢包進行全面的審核和滲透測試。在審計中，Certik肯定了RioDeFi執行安全測試的主動性,并表明對RioDeFi安全性價值的贊賞。這項審計工作是從六個月前就開始進行了，經過長達六個月的雙方密切合作終于完成了這項審計。RioDeFi是以Substrate和RUST作為底層協議開發跨鏈型公鏈，RioDeFi是DeFi基礎架構平臺，旨在通過橋接傳統和去中心化金融來加速數字資產的采用。 這是通過跨鏈的技術將業務，金融機構和銀行與分布式去中心化系統連接起來的解決方案。[2020/9/3]

Tags：EFIDEFDEFIRIOMEFI價格Pi Network DeFidefi幣多少錢一個Orion Money

火星幣