Chengdu Lianan : Analyse de l'incident d'extorsion du YFV

YFV est un projet DeFi basé sur Ethereum Plus tôt dans la journée, YFV a officiellement publié un document indiquant qu'il avait été victime de chantage. L'attaquant peut utiliser la vulnérabilité du contrat de jalonnement pour réinitialiser arbitrairement le YFV verrouillé par l'utilisateur.

Et a déclaré que cet incident pourrait être lié à l'incident du "pool 0" il n'y a pas si longtemps, et que le maître chanteur est très probablement un "fermier en colère" qui n'a pas récupéré les fonds lors de l'incident du "pool 0". les

Il y a une fonction de mise OnBehalf dans le contrat afin que l'attaquant puisse miser pour n'importe quel utilisateur, comme illustré dans la figure suivante :

Chengdu Lianan : La collection de données nationale de Tianqiong a affirmé avoir été piratée, et les pirates ont utilisé de faux soldes pour acheter et voler les collections des utilisateurs : actualités du 17 mai, selon la surveillance de l'opinion publique de sécurité de la chaîne Bing-Blockchain Security Situational Awareness de Chengdu Lianan. Plate-forme » Selon les données, Tianqiong Shuizang a affirmé avoir été attaqué par des pirates, et le prix de la collection était anormalement élevé à près de 10 millions de yuans. Selon l'annonce de la plate-forme : les données de la plate-forme ont rencontré un grand nombre d'attaques malveillantes. Les pirates ont utilisé de faux soldes pour acheter et voler les collections des utilisateurs, ce qui a entraîné des données anormales. Elles ont été restaurées et la plate-forme a signalé à la police pour traitement. Selon l'analyse préliminaire de l'équipe de sécurité de Chengdu Lianan, la cause de cette attaque est devinée comme suit : l'attaquant a pénétré dans la base de données de la plate-forme via la sécurité du réseau traditionnel et a falsifié de manière malveillante le solde du compte, ce qui a entraîné un grand nombre de transactions à prix élevé. les commandes en attente des utilisateurs pouvant toujours être échangées, ce qui a finalement conduit à des données anormales. L'équipe de sécurité de Chengdu Lianan recommande :

1. Lors du processus de conception, de mise en œuvre et de déploiement de plates-formes nationales de collecte numérique, ils doivent prêter attention aux domaines de sécurité traditionnels tels que la sécurité des communications et des réseaux, la sécurité de l'hôte, la sécurité des bases de données et la sécurité mobile, et faire un bon travail en matière de protection de la sécurité ;

2. Dans le processus d'exploitation et de maintenance, la plateforme de collecte numérique nationale devrait faire un bon travail dans la conception et la mise en œuvre du contrôle des risques financiers pour éviter les changements de capital à grande échelle sans le savoir ;

3. Les consommateurs de collections numériques doivent prêter attention aux risques de conformité de la plate-forme lors du choix d'une plate-forme de négociation et veiller à protéger la sécurité de leurs propres biens ;

4. Les consommateurs de collections numériques doivent être attentifs aux risques de battage publicitaire et aux bulles du marché, et éviter les pertes de propriété lorsque les bulles éclatent. [2022/5/17 3:22:51]

Chengdu Lianan : Visor Finance a été attaqué analyse des événements : Selon la surveillance de Chengdu Lianan, Visor Finance a été attaqué à 22h18 le 21 décembre 2021, heure de Pékin. Selon l'analyse de l'équipe technique de Chengdu Lianan, cette attaque exploitait deux vulnérabilités du RewardsHypervisor du contrat de minage hypothécaire du projet Visor Finance :

1. L'appel ne limite pas le contrat cible, l'attaquant peut appeler n'importe quel contrat et reprendre le processus d'exécution du contrat minier hypothécaire ; <- la principale faille, la cause première de cette attaque. 2. La fonction n'est pas protégée contre les attaques de réentrance ; <- une vulnérabilité mineure, qui provoquait une erreur dans le calcul du nombre de certificats collatéraux, n'est pas le principal point d'utilisation de cette attaque, mais elle peut également être utilisée pour lancer une attaque seul. En réponse à ces deux problèmes, Chengdu Lianan suggère par la présente que la partie projet devrait faire les deux choses suivantes : 1. Lors de l'appel de contrats externes, il est recommandé d'ajouter une liste blanche pour interdire les appels de contrats arbitraires, en particulier les contrats clés qui peuvent contrôler le processus d'exécution du contrat Call; 2. La fonction est bien protégée contre la réentrance, il est recommandé d'utiliser le contrat ReentrancyGuard d'openzeppelin. [2021/12/22 7:55:18]

L'instruction lastStakeTimes[stakeFor] = block.timestamp; de cette fonction met à jour le laseStakeTimes[user] de la carte d'adresses utilisateur. Et il y a une vérification dans la fonction utilisée par l'utilisateur pour retirer l'hypothèque, qui oblige l'utilisateur à retirer le temps doit être supérieur à lastStakeTimes [compte] + 72 heures. Comme indiqué ci-dessous:

Le contrat intelligent LLE a passé l'audit de sécurité de Beosin (Chengdu Lian'an) : selon les informations officielles, Beosin (Chengdu Lian'an) a terminé aujourd'hui le service d'audit de sécurité du projet de contrat intelligent LLE.

L'écologie de prêt Leopard (Leopard prêt écologie) est un protocole intelligent sur la blockchain Ethereum. Le marché des services de change est établi autour du protocole. Le marché des services est basé sur la demande de prêts d'actifs pour calculer le taux d'intérêt. Les fournisseurs d'actifs interagissent directement avec le protocole, gagnant des taux flottants sans attendre de négocier des conditions telles que des taux ou des garanties.

Le fondateur Williams a déclaré: La conception globale de notre contrat intelligent LLE est claire, la logique est rigoureuse, le code est sûr et fiable, et il possède l'une des meilleures conditions de projet financier décentralisé sur la blockchain.

Adresse du contrat : 0xa1521aA6FE752195418ddbADB5A0c331608416B1 ;

Numéro du rapport d'audit : 202009222010. [2020/9/24]

UngeledStakeTime est illustré dans la figure ci-dessous :

En résumé, les utilisateurs malveillants peuvent hypothéquer de petites sommes d'argent aux utilisateurs normaux, bloquant ainsi les fonds des utilisateurs normaux.

Selon les informations de la chaîne, nous avons trouvé deux attentats présumés, comme suit :

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

L'un d'eux est illustré dans l'image ci-dessous :

Ces deux transactions proviennent de la même adresse, et les deux sont extrêmement petites. À partir de là, nous pouvons essentiellement déterminer qu'il s'agit d'une transaction pour tester le problème de blocage.

Pour cet incident, la cause principale est que le travail d'audit de code avant la mise en ligne n'a pas été bien fait. Cet incident est en fait une faille au niveau de l'entreprise.

Selon l'expérience de Chengdu Lianan en matière d'audit de code, les différentes parties du projet n'ont pas fourni d'informations complètes sur le projet lors de la réalisation d'audits de code, ce qui a empêché les audits de code de trouver certaines failles commerciales, ce qui a entraîné de lourdes pertes après la mise en ligne.

Chengdu Lianan Security Lab rappelle par la présente à toutes les parties prenantes du projet : la sécurité est la pierre angulaire du développement, et un bon audit de code est une condition préalable à la mise en ligne.

Tags：

XLM