Yearn因駭客攻擊而損失1100萬美元,這是如何發生的?

買賣虛擬貨幣

"2月5日,Yearn Finance v1 版本的 yDAI 機槍池漏洞被利用,損失 1100 萬美元,該名攻擊者總共獲得 51.3 萬 DAI、170 萬 USDT 和 50.6 萬 3CRV,大約280萬美元。目前團隊正在針對此次事件進行調查,暫時禁用了在機槍池存入 v1 DAI、TUSD、USDC、USDT 功能。"

2月5日凌晨5點左右,yearn官方在推特上表示:

“我們已經注意到 yearn v1 yDAI機槍池出現了一個漏洞。該漏洞已得到緩解。之後將釋出漏洞報告。”

Yearn核心開發者banteg隨後釋出資訊表示:

“Yearn DAI v1機槍池被駭客攻擊,攻擊者已獲得280萬美元,整個機槍池損失了1100萬美元。在我們調查期間,針對v1 DAI,TUSD,USDC,USDT機槍池的策略存款將會被禁用。”

banteg還表示,yearn團隊對這次攻擊的應對反應迅速,從發現到實施緩解總共用時10分鐘14秒,將原本可能導致3500萬美元損失降低到1100萬美元。

在這次漏洞攻擊中,攻擊者拿走了280萬美元,而另外超過300萬美元資金流向了Curve質押者。

駭客攻擊手法

The Block研究分析師Igor Igamberdiev表示,攻擊者在這次漏洞中總共執行了11個步驟。

1 /透過閃電貸從dYdX借來11.6萬ETH

2 / 透過閃電貸從Aave v2借來9.9萬 ETH

3 /使用ETH作為抵押品借入1340萬USDC和1290萬 DAI

4 /在3crv Curve池中新增1340萬USDC和360萬DAI

5 /從3crv Curve池中提取1.65億USDT

6 /以下操作重複5次:

-將930萬DAI存入yDAI機槍池

-將1650萬USDT新增到3crv池中

-從yDAI機槍池中提取920萬 DAI

-從3crv池中提取1.65億USDT

7 /最後一次取款3900萬DAI和1.34億USDC,而不是USDT

8 /償還Compound借貸

9 /償還閃電貸

攻擊者每次重複操作的時候就會擁有更多3crv代幣,然後將其兌換為穩定幣。有意思的是,竟然使用了這麼多次閃電貸。預計會有新的關於閃電貸的演講文章會很快釋出。

Aave創始人Stani Kulechov則表示,這次攻擊包含一個複雜的漏洞,涉及多個DeFi平臺的160多筆交易,花費逾5000美元的Gas費用,最終導致駭客盜走270萬美元。

截止目前,yearn還未釋出關於這次攻擊的詳細漏洞報告,具體資金流向還不清楚。

本公眾號所載文章中觀點僅代表原作者個人立場,不代表巴位元資訊立場。投資者不應將文中觀點、結論為作出投資決策的惟一參考因素,亦不應認為文中觀點可以取代自己的判斷。在決定投資前,如有需要,投資者務必向專業人士諮詢並謹慎決策。

作者:kyle,來源:巴位元資訊

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;