CertiK:Yearn.Finance惊爆漏洞,总损失约7100万人民币
chia币

CertiK:Yearn.Finance惊爆漏洞,总损失约7100万人民币

原文标题:《CertiK:Yearn.Finance 惊爆漏洞,DeFi 再遭打击,一文带你探明事件始末》原文来源:CertiK

2 月 5 日消息,据 DeBank 数据显示,DeFi 真实锁仓量突破 470 亿美元,创下历史新高,本文撰写时为 478.3 亿美元,约等于 3095 亿人民币。

2020 年被称为「DeFi 元年」,DeFi 在 Compound 首创的「流动性挖矿」推动下获得了历史性的大爆发,然而其安全风险居高不下。北京时间 2 月 5 日凌晨,CertiK 安全技术团队发现 DeFi 项目 Yearn.Finance 发生攻击事件,攻击总损失高达约 7100 万人民币,黑客从中获利约 1800 万人民币。黑客通过闪电贷获得攻击启动资金,利用 Yearn 项目代码漏洞,完成整个攻击。

攻击者获利数目截图

此次攻击总计包括 11 笔利用漏洞获利交易以及 3 笔转换代币交易,交易列表如下:

除开 3 笔转换代币交易之外,剩余 11 笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。攻击大致流程图如下:

具体步骤如下:

-利用闪电贷筹措攻击所需初始资金。

-利用 Yearn.Finance 合约中漏洞,反复将 DAI 与USDT从 3crv 中存入和取出操作,目的是获得更多的 3Crv 代币。这些代币在随后的 3 笔转换代币交易中转换为了 USDT 与 DAI 稳定币。完成 5 次重复的 DAI 与 USDT 从 3crv 中存取操作后,偿还闪电贷。

-CertiK 安全技术团队当前正在审查 Yearn.Finance 中存在的漏洞,更多漏洞细节将在后续分析中进行详解。

总结

加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险,此次漏洞的爆发同样是 DeFi 领域的一个警示。

发表评论