当前位置:btc网 > 加密货币 >

首发 | Yearn.Finance惊爆漏洞 DeFi再遭打击 一文带你探明事件始末

2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿USD,创下历史新高,本文写作时为478.3亿USD,约等于3095亿人民币。

2020年被叫做“DeFi元年”,DeFi在COMP首创的 “流动性挖矿”推进下获得了历史性的大爆发,然而其安全风险居高不下。

北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。

黑客通过闪电贷获得攻击启动资金,借助Yearn项目代码漏洞,完成整个攻击。

攻击者获利数目截图

此次攻击总计包含11笔借助漏洞获利买卖与3笔转换代币买卖,买卖列表如下:

序号

买卖目的

买卖获利

1

借助漏洞获利

3Crv:349852, 美元T:11305

2

借助漏洞获利

3Crv:316814, 美元T:11833

3

借助漏洞获利

3Crv:287544, 美元T:11818

4

借助漏洞获利

3Crv:258554, 美元T:11761

5

借助漏洞获利

3Crv:276366, 美元T:11472

6

借助漏洞获利

3Crv:249387, 美元T:11242

7

将前6笔买卖获得的3Crv总量的一半转换为美元T获利

869,260 3Crv 转换为 878,188美元T

8

借助漏洞获利

3Crv:226448, 美元T:11242

9

借助漏洞获利

3Crv:198877, 美元T:12302

10

借助漏洞获利

3Crv:172524, 美元T:11987

11

将目前买卖获得的3Crv剩余总量的一半转换为美元T获利

733,555 3Crv 转换为 742,042 美元T

12

借助漏洞获利

3Crv:152217, 美元T:11570

13

借助漏洞获利

3Crv:127856, 美元T:11017

14

将剩余所有3Crv转换为D人工智能获利

506,814 Crv 转换为 513,356 D人工智能

除开3笔转换代币买卖以外,剩余11笔获利买卖均针对同一个漏洞,用相同的攻击方法完成的获利。

攻击大致步骤图如下:

具体步骤如下:

  • 借助闪电贷筹备攻击所需初始资金。

  • 借助 Yearn.Finance 合约中漏洞,反复将 D人工智能 与 美元T 从 3crv 中存入和取出操作,目的是获得更多的3Crv代币。这类代币在随后的3笔转换代币买卖中转换为了美元T与D人工智能稳定币。

  • 完成5次重复的D人工智能 与 美元T 从 3crv 中存取操作后,偿还闪电贷。

CertiK安全技术团队目前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续剖析中进行解析。

安全建议

加密世界的交互总是都随着着肯定的风险,而投资于安全的项目会收到愈加长远的回报。

而高收益一定随着着高风险,此次漏洞的爆发同样是DeFi范围的一个警示。

CertiK建议:

完备的安全保障=安全审计+实时测试+资产保障

版权保护: 本文由 btc网 原创,转载请保留链接: http://www.tfoec.cn/huobi/528.html

猜你喜欢