STAK:YFV勒索事件分析：DeFi需做好上線前的代碼審計工作_STAKE

Author：

Time：1900/1/1 0:00:00

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相關，勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

火幣YFII、SUSHI、YFV、PEARL、GXC和TRB永續合約已正式上線:據火幣官方消息，火幣YFII（DFI.Money）、SUSHI（Sushi）、YFV（YFValue）、PEARL（Pearl）、GXC（GXChain）和TRB（Tellor）永續合約已于新加坡時間9月9日16點正式上線。用戶現可在平臺進行劃轉、交易等操作。

據悉，火幣永續合約在每個新品種上線前，平臺均會提前配置一定額度風險準備金，以最大可能保護用戶權益。在此六大幣種上線前，火幣合約已向其永續合約風險準備金余額中分別注入30個YFII、36,000個SUSHI、4,500個YFV、80個PEARL、170,000個GXC和3,000個TRB。

此次六大熱門幣同時上線后，火幣永續合約已覆蓋了包括LINK、COMP、CRV等24個優質DeFi資產在內的共計五十五大主流幣種，成為一家整體市場份額最大、DeFi等熱門資產齊全的幣本位衍生品交易所。詳情請查看火幣合約官網公告。[2020/9/9]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

AOFEX于9月9日上線XRT、CVP、YFV、JFI:據官方消息，AOFEX交易所于9月9日正式上線XRT、CVP、YFV、JFI并已開放充值，AQ及USDT交易區16:00開放XRT及CVP交易，17:00開放YFV及JFI交易。

XRT（Robonomics Network）是旨在創建機器人責任合同市場的開源協議；CVP（PowerPool）是為匯集治理代幣提供便捷解決方案的協議；YFV（YFValue）是分叉自YFI的 DeFi 收益聚合器和流動性挖礦平臺；JFI（JackPool）是JustSwap上的一鍵DeFi挖礦聚合協議。

AOFEX是數字貨幣金融衍生品交易所，旨在為用戶提供優質服務和資產安全保障。[2020/9/9]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：