AD
据链闻音尘,DeFi 项目 YFValue (YFV)颁布告示称,团队于昨日在 YFV 质押池中开掘一个马虎,恶意参加者借此忽略对质押中的 YFV 计时器孤独沉置。当前已有一个恶意参与者正试图借此恐吓团队。慢雾平和团队对此举办了深远剖判,以下是相关技艺细节。 从谈明中咱们可以得知是 YFV 抵押池生长了问题,恶意的用户可沉置 YFV 典质者的计时器,对 YFV 的抵押者变成不便,但这并不会导致资金耗损。通过登岸 YFValue 的官方网站 ,,可能挖掘正在 YFValue 的系统中,用户可通过质押干系的代币得回对应的赏赐,今朝 YFValue 支持的质押代币池能够看到,方今由于纰漏的原由,YFV 的抵押池仍然正在 UI 界面封合了抵押生效,不过合约上而今还没关合代币抵押的劳绩,所有人们需要跟踪代码来理会的确的细节点。恪守官网供给的 Github 地方,咱们溯源到了合联的代码货仓,对待 YFV 典质的接洽逻辑在YFV_Stake.sol 关约中,闭约中对于典质的函数有 2 个,差别是 stake 函数和 stakeOnBehalf 函数,恶意的用户是若何锁定其全部人用户的家产的呢?回到用户典质的逻辑,能够开采抵押逻辑中的 stakeOnBehalf 函数本意是助助实行抵押,但是这里有个题目,即使这个用户先前依旧有典质了呢?那资历对照旧抵押的用户再次实行抵押,例如说典质 1 个 YFV,是不是就能以极低的本钱浸置已典质的用户的计时器,导致用户正在 withdraw 时无法成功挪用。更进一步,假如 YFV 典质用户仍旧奏凯移用了 stakeReward 函数,在将近到达 unfrozenStakeTime 所规矩的手艺时,恶意的用户可能经过 stakeOnBehalf 函数给这个用户典质少量财产,即可再次对抵押嘉奖实行锁定,理论上如此走动轮回,即可利用户无法取出自己的财富,但这个题目并不会导致血本损失。前车可鉴这是本月生长的第二个没有经过审计的 DeFi 项目所暴揭露的摧残,服从 YFValue 的官方声明,项目代码是由宽绰通过的建筑者举办作战的,同时借鉴了其全班人获胜的项主张代码,但是仍无可遏制的出现了妨害。术业有专攻,清静审计一方面须要项目方的正向想想,另一方面,仍旧须要专业的安静团队的逆向念维,从专业的黑客角度进行模拟匹敌,挖掘题目。修造计划经验认识代码和纰漏细节,针对本次大意,扶植计划也很粗略,只须在典质的岁月检查用户的抵押情形是否为依然典质,要是已经抵押,则不允诺再次抵押。恐惧对每次的抵押举行孤单的整理,不能对先前的抵押景况爆发影响。安好统治计划1,生意所清静审计2,钱包安乐审计3,链安详审计4,智能闭约安好审计5,链盟安定打点方案6,红队试验,平宁检测,区块链要挟情报,粗心赏金,防御调动,平安照拂等等有用的安适办事,一体化安全束缚方案
疏解:本文由入驻金色财经的作家撰写,定见仅代外作家自己,毫不代外金色财经答允其主张或证明其容貌。
加入新手交流群:每天早盘分析、币种行情分析
添加助理微信,一对一专业指导:chengqing930520
上一篇:9·8论坛|把区块链和新基筑调停起来希望
加入新手交流群:每天早盘分析、币种行情分析,添加助理微信
一对一专业指导:chengqing930520
最新资讯
