2月5日訊息,據DeBank資料顯示,DeFi真實鎖倉量突破470億美元,創下歷史新高,本文撰寫時為478.3億美元,約等於3095億人民幣。
2020年被稱為“DeFi元年”,DeFi在Compound首創的 “流動性挖礦”推動下獲得了歷史性的大爆發,然而其安全風險居高不下。
北京時間2月5日凌晨,CertiK安全技術團隊發現DeFi專案Yearn.Finance發生攻擊事件,攻擊總損失高達約7100萬人民幣,駭客從中獲利約1800萬人民幣。
駭客透過閃電貸獲得攻擊啟動資金,利用Yearn專案程式碼漏洞,完成整個攻擊。
攻擊者獲利數目截圖
此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易,交易列表如下:
序號
交易目的
交易獲利
1
利用漏洞獲利
3Crv:349852, USDT:11305
2
利用漏洞獲利
3Crv:316814, USDT:11833
3
利用漏洞獲利
3Crv:287544, USDT:11818
4
利用漏洞獲利
3Crv:258554, USDT:11761
5
利用漏洞獲利
3Crv:276366, USDT:11472
6
利用漏洞獲利
3Crv:249387, USDT:11242
7
將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利
869,260 3Crv 轉換為 878,188USDT
8
利用漏洞獲利
3Crv:226448, USDT:11242
9
利用漏洞獲利
3Crv:198877, USDT:12302
10
利用漏洞獲利
3Crv:172524, USDT:11987
11
將當前交易獲得的3Crv剩餘總量的一半轉換為USDT獲利
733,555 3Crv 轉換為 742,042 USDT
12
利用漏洞獲利
3Crv:152217, USDT:11570
13
利用漏洞獲利
3Crv:127856, USDT:11017
14
將剩餘所有3Crv轉換為DAI獲利
506,814 Crv 轉換為 513,356 DAI
除開3筆轉換代幣交易之外,剩餘11筆獲利交易均針對同一個漏洞,使用相同的攻擊方式完成的獲利。
攻擊大致流程圖如下:
具體步驟如下:
利用閃電貸籌措攻擊所需初始資金。
利用 Yearn.Finance 合約中漏洞,反覆將 DAI 與 USDT 從 3crv 中存入和取出操作,目的是獲得更多的3Crv代幣。這些代幣在隨後的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。
完成5次重複的DAI 與 USDT 從 3crv 中存取操作後,償還閃電貸。
CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞,更多漏洞細節將在後續分析中進行詳解。
總結
加密世界的互動往往都伴隨著一定的風險,而投資於安全的專案會收到更加長遠的回報。
而高收益必定伴隨著高風險,此次漏洞的爆發同樣是DeFi領域的一個警示。