YFV는 Ethereum을 기반으로 하는 DeFi 프로젝트입니다.오늘 일찍 YFV는 공식적으로 협박을 받았다는 문서를 발행했습니다. 공격자는 스테이킹 계약 취약성을 사용하여 사용자가 임의로 잠근 YFV를 재설정할 수 있습니다.

취약점 분석

취약점 분석

다음 그림과 같이 공격자가 모든 사용자를 위해 스테이크할 수 있도록 계약에 stakeOnBehalf 기능이 있습니다.

이 함수의 lastStakeTimes[stakeFor] = block.timestamp; 문은 사용자 주소 매핑의 laseStakeTimes[user]를 업데이트합니다. 그리고 사용자가 모기지를 인출하기 위해 사용하는 기능에 검증이 있으며, 사용자가 인출하는 시간은 lastStakeTimes[account]+72시간보다 커야 합니다. 아래 그림과 같이:

UnfrozenStakeTime은 아래 그림과 같습니다.

요약하면, 악의적인 사용자는 일반 사용자에게 소액의 자금을 저당하여 일반 사용자의 자금을 잠글 수 있습니다.

체인에 대한 정보에 따르면 다음과 같은 두 가지 의심되는 공격을 발견했습니다.

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

그 중 하나가 아래 그림에 나와 있습니다.

요약하다

요약하다

이 사건의 근본 원인은 온라인에 들어가기 전 코드 감사 작업이 제대로 이루어지지 않았기 때문입니다. 이 사건은 실제로 비즈니스 수준의 허점입니다.

Chengdu Lianan의 코드 감사 경험에 따르면 개별 프로젝트 당사자는 코드 감사를 수행할 때 완전한 프로젝트 관련 정보를 제공하지 않아 코드 감사가 일부 비즈니스 허점을 찾을 수 없어 온라인으로 전환한 후 막대한 손실을 입었습니다.

Chengdu Lianan Security Lab은 이에 모든 프로젝트 당사자에게 상기시킵니다. 보안은 개발의 초석이며 우수한 코드 감사는 온라인 전환의 전제 조건입니다.