当前位置:首页 > 资讯 > 区块链新闻 > 正文

链安慢雾代码审计一行代码是怎么毁了YAMDEFI项目的你的项目还敢不做代码审计

发布:中币网   时间:2020-09-08 00:00:00   加入收藏 打赏

流动性挖矿是Uniswap带来的天才创新,在2017年也诞生过很多去中心化平台,像以德等等,为什么直到今天这概念才火起来,就是因为原先平台没有流动性,中心化的大平台,采用做市商

流动性挖矿是Uniswap带来的天才创新,在2017年也诞生过很多去中心化平台,像以德等等,为什么直到今天这概念才火起来,就是因为原先平台没有流动性,中心化的大平台,采用做市商的方式,通过第三方介入来提供挂单深度,但是去中心化平台只能等人自己挂单,你一登陆就会发现,盘面根本没有挂单,自己更不想挂了,久而久之就会越来越凉。

流动性挖矿彻底解决这个问题,如果有人告诉你,挂单可以给奖励呢?情况就大不一样了,Uniswap采用流动性池概念,只要你手里有钱和币锁在池子里面,就会给你币的奖励,也被叫做流动性挖矿。

YAM挖矿按照小时算,每小时能赚5倍,每天能赚10倍,看明白的人能不激动吗?所有人像疯了一样冲进去。

但是这背后有俩问题:项目方要直接跑路呢?大家赚的是谁的钱?项目方跑路和代码是挂钩的,这也和18年的交易挖矿,有着本质上的区别,只要代码在,稳定币体系就会正常流转,币就在。

很多人根本不怕项目方跑路,反而怕项目方“做事情”,一旦推出新版本,就会让老版本的币种贬值,只要代码安全性合格,保证去中心化的机制,项目方也拿这些币没办法。当然最怕的是代码不合格,最后币全让黑客端走了,比如YAM深夜爆出漏洞,目前还调整呢。

基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。

成都链安认为,本次事件的根本原因在于,没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。可想而知项目上线之前做好代码审计工作有多重要!

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

来源:




来源:中币网  https://www.zhongbi.net/news/blocknews/250901.html
声明:登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。 此文如侵犯到您的合法权益,请联系我们3111859717@qq.com,我们将第一时间处理。