DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

巴比特 閱讀 26187 2021-2-5 14:52
分享至
微信掃一掃,打開網頁後點擊屏幕右上角分享按鈕
"2月5日,Yearn Finance v1 版本的 yDAI 机枪池漏洞被利用,损失 1100 万美元,该名攻击者总共获得 51.3 万 DAI、170 万 USDT 和 50.6 万 3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机枪池存入 v1 DAI、TUSD、USDC、USDT 功能。"

2月5日凌晨5点左右,yearn官方在推特上表示,

“我们已经注意到 yearn v1 yDAI机枪池出现了一个漏洞。该漏洞已得到缓解。 之后将发布漏洞报告。”

DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

Yearn核心开发者banteg随后发布信息表示,

“Yearn DAI v1机枪池被黑客攻击,攻击者已获得280万美元,整个机枪池损失了1100万美元。 在我们调查期间,针对v1 DAI,TUSD,USDC,USDT机枪池的策略存款将会被禁用。”

DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。

在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。

DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

黑客攻击手法

The Block研究分析师Igor Igamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。

1 /通过闪电贷从dYdX借来11.6万ETH

2 / 通过闪电贷从Aave v2借来9.9万 ETH

3 /使用ETH作为抵押品借入1340万USDC和1290万 DAI

4 /在3crv Curve池中添加1340万USDC和360万DAI

5 /从3crv Curve池中提取1.65亿USDT

6 /以下操作重复5次:

-将930万DAI存入yDAI机枪池

-将1650万USDT添加到3crv池中

-从yDAI机枪池中提取920万 DAI

-从3crv池中提取1.65亿USDT

7 /最后一次取款3900万DAI和1.34亿USDC,而不是USDT

8 /偿还Compound借贷

9 /偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

Aave创始人Stani Kulechov则表示,这次攻击包含一个复杂的漏洞,涉及多个DeFi平台的160多笔交易,花费逾5000美元的Gas费用,最终导致黑客盗走270万美元。

DeFi之道丨Yearn因黑客攻击而损失1100万美元,这是如何发生的?

截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。

btcfans公众号

微信掃描關注公眾號,及時掌握新動向

來源鏈接:https://www.8btc.com/
免責聲明:
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
上一篇:Yearn.Finance惊爆漏洞,DeFi再遭打击,一文带你探明事件始末! 下一篇:Coinbase:DeFi锁仓值一年疯涨2500%,监管问题仍需关注

相關資訊