IME:安全公司：YFV項目勒索事件的根本原因在于沒有做好上線前的代碼審計工作_加密貨幣市場還有未來嗎知乎

今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes72小時。綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc90x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db，此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。成都鏈安認為，本次事件的根本原因在于，沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

安全公司：上周發生的15起安全事件造成約550萬美元的損失:金色財經報道，據CertiK官方推特發布消息稱，自上周五以來，記錄了15起安全事件，造成約550萬美元的損失。到目前為止，共發生17起Discord黑客攻擊事件、16起網絡釣魚攻擊事件和2起Twitter黑客攻擊事件。[2023/7/16 10:57:46]

加密安全公司Dfns為錢包開發工具包增加生物識別支持:金色財經報道，加密貨幣安全公司Dfns透露了將生物識別技術納入其錢包即服務工具包的計劃，允許加密貨幣開發商構建出使用Face ID、指紋掃描儀和其他生物識別技術的錢包，以確保用戶資金安全。

根據Dfns的首席執行官Clarisse Hagège的說法，該公司已經籌集了1500萬美元的資金。Dfns希望通過將生物識別認證整合到其錢包套件中來改變這一動態，旨在協助開發者制作更多用戶友好的錢包。該生物識別功能依賴于開源的WebAuthn標準，允許用戶在不直接與第三方分享其生物識別數據的情況下進行自我認證。[2023/5/9 14:52:59]

動態 | 高盛和億萬富豪Michael Novogratz將投資加密貨幣安全公司BitGo:據Bloomberg Crypto消息，高盛和億萬富豪Michael Novogratz將投資加密貨幣安全公司BitGo。[2018/10/18]

Tags：STASTAKIME加密貨幣stak幣價格pstake幣價格prime幣怎么樣加密貨幣市場還有未來嗎知乎

中幣下載