YEA:Yearn.Finance惊爆漏洞,DeFi再遭打击,一文带你探明事件始末!

2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿美元,创下历史新高,本文撰写时为478.3亿美元,约等于3095亿人民币。

DeFi借贷协议Alchemix将超过10%的DAI供应锁定在yearn.finance:DeFi借贷协议Alchemix Finance联合创始人scoopy trooples表示,Alchemix将超过10%的DAI供应锁定在yearn.finance。[2021/5/15 22:05:59]

2020年被称为“DeFi元年”,DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发,然而其安全风险居高不下。

北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。

Cover Protocol社区正在验证Yearn Finance索赔流程 索赔比例为36%:2月10日,DeFi保险协议Cover Protocol官方发布Yearn Finance索赔简报。根据简报,Yearn Finance就v1 yDAI vault攻击事件于2月4日提起了索赔。在接受索赔时其抵押共计409,722 DAI。当前该索赔状态为:正由社区和CVC验证。索赔支付比例为36%(部分支付),即1个索赔代币可兑换0.36 DAI。索赔支付时间为7天(含2天延迟)。此前消息,yearn v1 yDAI vault遭受攻击,随后Cover开启投票是否对Yearn漏洞提供保险。[2021/2/10 19:27:39]

黑客通过闪电贷获得攻击启动资金,利用Yearn项目代码漏洞,完成整个攻击。

Yearn.finance创始人:仍在构建ENM且将继续部署测试合约:9月29日,Yearn.finance创始人Andre Cronje再次发推针对遭遇攻击的ENM项目作出相关说明。他表示,还在构建Eminence(ENM)项目,且将继续部署测试合约。Andre Cronje表示其有超过100个已部署的合同,其中可能有一半仍有漏洞,并提醒称,请等待官方通知。此外,Andre Cronje还称,必须声明一点,不要使用其部署的随机合约,昨天ENM项目部署的合同完全是为了其个人,并称GIL和EMN都是分阶段进行的,不会被使用。[2020/9/29]

攻击者获利数目截图

此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易,交易列表如下:

除开3笔转换代币交易之外,剩余11笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。

攻击大致流程图如下:

具体步骤如下:

利用闪电贷筹措攻击所需初始资金。

利用Yearn.Finance合约中漏洞,反复将DAI与USDT从3crv中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。

完成5次重复的DAI与USDT从3crv中存取操作后,偿还闪电贷。

CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续分析中进行详解。

总结

加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险,此次漏洞的爆发同样是DeFi领域的一个警示。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

USDTOIN:隐秘的交易:暗藏危机的USDT 场外交易

原标题:隐秘的交易:起底USDT场外交易虚拟货币面对面场外交易,看似安全实则暗藏危机。“相较于在虚拟货币交易所转账,面对面现金交收可以绕开银行审查,实时确保交易完成,避免交易任意一方卷钱跑路,在.

[0:15ms0-1:405ms