首页 > 百科 > 崛起币都上了哪些交易平台|链安慢雾代码审计 一行代码是怎么毁了YAM DEFI项目的 你的项目还敢不做代码审计
路安  

崛起币都上了哪些交易平台|链安慢雾代码审计 一行代码是怎么毁了YAM DEFI项目的 你的项目还敢不做代码审计

摘要:流动性挖矿是Uniswap带来的天才创新,在2017年也诞生过很多去中心化平台,像以德等等,为什么直到今天这概念才火起来,就是因为原先平台没有流动性,中心化的大

流动性挖矿Uniswap带来的天才创新,在2017年也诞生过很多去中心化平台,像以德等等,为什么直到今天这概念才火起来,就是因为原先平台没有流动性,中心化的大平台,采用做市商的方式,通过第三方介入来提供挂单深度,但是去中心化平台只能等人自己挂单,你一登陆就会发现,盘面根本没有挂单,自己更不想挂了,久而久之就会越来越凉。

VhloXhf5aIGMxFX1AX5rFnwho9kjLPYejCZik9xo.png

流动性挖矿彻底解决这个问题,如果有人告诉你,挂单可以给奖励呢?情况就大不一样了,Uniswap采用流动性池概念,只要你手里有钱和币锁在池子里面,就会给你币的奖励,也被叫做流动性挖矿。

YAM挖矿按照小时算,每小时能赚5倍,每天能赚10倍,看明白的人能不激动吗?所有人像疯了一样冲进去。

t58AGgPT6tWqoqEchrtfENv5FzVozRH4uU3hSKmq.png

但是这背后有俩问题:项目方要直接跑路呢?大家赚的是谁的钱?项目方跑路和代码是挂钩的,这也和18年的交易挖矿,有着本质上的区别,只要代码在,稳定币体系就会正常流转,币就在。

很多人根本不怕项目方跑路,反而怕项目方“做事情”,一旦推出新版本,就会让老版本的币种贬值,只要代码安全性合格,保证去中心化的机制,项目方也拿这些币没办法。当然最怕的是代码不合格,最后币全让黑客端走了,比如YAM深夜爆出漏洞,目前还调整呢。

DcQE74edpermL4M5yBKOLwOnNYU0HmjmDOWEDctp.png

基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞,可以任意重置用户锁定的YFV。并表示,此次事件可能和不久前的“pool0”事件相关,勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。成都链安分析称,合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押,此函数中的 lastStakeTimes[stakeFor] = block.timestamp; 语句会更新用户地址映射的laseStakeTimes[user]。而用户取出抵押所用的函数中又存在验证,要求用户取出时间必须大于lastStakeTimes[account]+72小时。

QnEktxN19SjYK09YPsG5v8tsvM3j0Oe3rbeyd2pd.jpeg成都链安认为,本次事件的根本原因在于,没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。可想而知项目上线之前做好代码审计工作有多重要!

针对于本次事件,究其根本原因,还是没有做好上线前的代码审计工作。本次事件实际上是属于业务层面上的漏洞。

poBEoYUJy1j1eo3HudnOXvF9i8n0PzdWOEzN9etF.jpeg

根据成都链安在代码审计方面的经验,个别项目方在进行代码审计时,未提供完整的项目相关资料,使得代码审计无法发现一些业务漏洞,导致上线后损失惨重。

成都链安·安全实验室在此提醒各项目方:安全是发展的基石,做好代码审计是上线的前提条件。

免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。