Yearn.Finance 驚爆漏洞,DeFi 再遭打擊

買賣虛擬貨幣

2月5日訊息,據DeBank資料顯示,DeFi真實鎖倉量突破470億美元,創下歷史新高,本文撰寫時為478.3億美元,約等於3095億人民幣。

2020年被稱為“DeFi元年”,DeFi在Compound首創的 “流動性挖礦”推動下獲得了歷史性的大爆發,然而其安全風險居高不下。

北京時間2月5日凌晨,CertiK安全技術團隊發現DeFi專案Yearn.Finance發生攻擊事件,攻擊總損失高達約7100萬人民幣,駭客從中獲利約1800萬人民幣。

駭客透過閃電貸獲得攻擊啟動資金,利用Yearn專案程式碼漏洞,完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易,交易列表如下:

序號

交易目的

交易獲利

1

利用漏洞獲利

3Crv:349852, USDT:11305

2

利用漏洞獲利

3Crv:316814, USDT:11833

3

利用漏洞獲利

3Crv:287544, USDT:11818

4

利用漏洞獲利

3Crv:258554, USDT:11761

5

利用漏洞獲利

3Crv:276366, USDT:11472

6

利用漏洞獲利

3Crv:249387, USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,260 3Crv 轉換為 878,188USDT

8

利用漏洞獲利

3Crv:226448, USDT:11242

9

利用漏洞獲利

3Crv:198877, USDT:12302

10

利用漏洞獲利

3Crv:172524, USDT:11987

11

將當前交易獲得的3Crv剩餘總量的一半轉換為USDT獲利

733,555 3Crv 轉換為 742,042 USDT

12

利用漏洞獲利

3Crv:152217, USDT:11570

13

利用漏洞獲利

3Crv:127856, USDT:11017

14

將剩餘所有3Crv轉換為DAI獲利

506,814 Crv 轉換為 513,356 DAI

除開3筆轉換代幣交易之外,剩餘11筆獲利交易均針對同一個漏洞,使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下:

具體步驟如下:

利用閃電貸籌措攻擊所需初始資金。

利用 Yearn.Finance 合約中漏洞,反覆將 DAI 與 USDT 從 3crv 中存入和取出操作,目的是獲得更多的3Crv代幣。這些代幣在隨後的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重複的DAI 與 USDT 從 3crv 中存取操作後,償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞,更多漏洞細節將在後續分析中進行詳解。

總結

加密世界的互動往往都伴隨著一定的風險,而投資於安全的專案會收到更加長遠的回報。

而高收益必定伴隨著高風險,此次漏洞的爆發同樣是DeFi領域的一個警示。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读