2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿USD,创下历史新高,本文写作时为478.3亿USD,约等于3095亿人民币。
2020年被叫做“DeFi元年”,DeFi在COMP首创的 “流动性挖矿”推进下获得了历史性的大爆发,然而其安全风险居高不下。
北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。
黑客通过闪电贷获得攻击启动资金,借助Yearn项目代码漏洞,完成整个攻击。
攻击者获利数目截图
此次攻击总计包含11笔借助漏洞获利买卖与3笔转换代币买卖,买卖列表如下:
序号
买卖目的
买卖获利
1
借助漏洞获利
3Crv:349852, 美元T:11305
2
借助漏洞获利
3Crv:316814, 美元T:11833
3
借助漏洞获利
3Crv:287544, 美元T:11818
4
借助漏洞获利
3Crv:258554, 美元T:11761
5
借助漏洞获利
3Crv:276366, 美元T:11472
6
借助漏洞获利
3Crv:249387, 美元T:11242
7
将前6笔买卖获得的3Crv总量的一半转换为美元T获利
869,260 3Crv 转换为 878,188美元T
8
借助漏洞获利
3Crv:226448, 美元T:11242
9
借助漏洞获利
3Crv:198877, 美元T:12302
10
借助漏洞获利
3Crv:172524, 美元T:11987
11
将目前买卖获得的3Crv剩余总量的一半转换为美元T获利
733,555 3Crv 转换为 742,042 美元T
12
借助漏洞获利
3Crv:152217, 美元T:11570
13
借助漏洞获利
3Crv:127856, 美元T:11017
14
将剩余所有3Crv转换为D人工智能获利
506,814 Crv 转换为 513,356 D人工智能
除开3笔转换代币买卖以外,剩余11笔获利买卖均针对同一个漏洞,用相同的攻击方法完成的获利。
攻击大致步骤图如下:
具体步骤如下:
借助闪电贷筹备攻击所需初始资金。
借助 Yearn.Finance 合约中漏洞,反复将 D人工智能 与 美元T 从 3crv 中存入和取出操作,目的是获得更多的3Crv代币。这类代币在随后的3笔转换代币买卖中转换为了美元T与D人工智能稳定币。
完成5次重复的D人工智能 与 美元T 从 3crv 中存取操作后,偿还闪电贷。
CertiK安全技术团队目前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续剖析中进行解析。
安全建议
加密世界的交互总是都随着着肯定的风险,而投资于安全的项目会收到愈加长远的回报。
而高收益一定随着着高风险,此次漏洞的爆发同样是DeFi范围的一个警示。
CertiK建议:
完备的安全保障=安全审计+实时测试+资产保障
版权保护: 本文由 btc网 原创,转载请保留链接: http://www.tfoec.cn/huobi/528.html
