"2月5日,Yearn Finance v1 版本的 yDAI 機槍池漏洞被利用,損失 1100 萬美元,該名攻擊者總共獲得 51.3 萬 DAI、170 萬 USDT 和 50.6 萬 3CRV,大約280萬美元。目前團隊正在針對此次事件進行調查,暫時禁用了在機槍池存入 v1 DAI、TUSD、USDC、USDT 功能。"
2月5日凌晨5點左右,yearn官方在推特上表示:
“我們已經注意到 yearn v1 yDAI機槍池出現了一個漏洞。該漏洞已得到緩解。之後將釋出漏洞報告。”
Yearn核心開發者banteg隨後釋出資訊表示:
“Yearn DAI v1機槍池被駭客攻擊,攻擊者已獲得280萬美元,整個機槍池損失了1100萬美元。在我們調查期間,針對v1 DAI,TUSD,USDC,USDT機槍池的策略存款將會被禁用。”
banteg還表示,yearn團隊對這次攻擊的應對反應迅速,從發現到實施緩解總共用時10分鐘14秒,將原本可能導致3500萬美元損失降低到1100萬美元。
在這次漏洞攻擊中,攻擊者拿走了280萬美元,而另外超過300萬美元資金流向了Curve質押者。
1 駭客攻擊手法
The Block研究分析師Igor Igamberdiev表示,攻擊者在這次漏洞中總共執行了11個步驟。
1 /透過閃電貸從dYdX借來11.6萬ETH
2 / 透過閃電貸從Aave v2借來9.9萬 ETH
3 /使用ETH作為抵押品借入1340萬USDC和1290萬 DAI
4 /在3crv Curve池中新增1340萬USDC和360萬DAI
5 /從3crv Curve池中提取1.65億USDT
6 /以下操作重複5次:
-將930萬DAI存入yDAI機槍池
-將1650萬USDT新增到3crv池中
-從yDAI機槍池中提取920萬 DAI
-從3crv池中提取1.65億USDT
7 /最後一次取款3900萬DAI和1.34億USDC,而不是USDT
8 /償還Compound借貸
9 /償還閃電貸
攻擊者每次重複操作的時候就會擁有更多3crv代幣,然後將其兌換為穩定幣。有意思的是,竟然使用了這麼多次閃電貸。預計會有新的關於閃電貸的演講文章會很快釋出。
Aave創始人Stani Kulechov則表示,這次攻擊包含一個複雜的漏洞,涉及多個DeFi平臺的160多筆交易,花費逾5000美元的Gas費用,最終導致駭客盜走270萬美元。
截止目前,yearn還未釋出關於這次攻擊的詳細漏洞報告,具體資金流向還不清楚。
本公眾號所載文章中觀點僅代表原作者個人立場,不代表巴位元資訊立場。投資者不應將文中觀點、結論為作出投資決策的惟一參考因素,亦不應認為文中觀點可以取代自己的判斷。在決定投資前,如有需要,投資者務必向專業人士諮詢並謹慎決策。
作者:kyle,來源:巴位元資訊