Yearn Finance開發者兼網站管理員banteg隨後在推特解釋了細節,其指出,駭客共獲得280萬美元,而Yearn Finance的v1 yDAI資金庫則是損失1,100萬美元。
banteg推文寫道:
“DAI v1資金庫漏洞受駭客利用,駭客獲利280萬美元,資金庫損失1,100萬美元。在我們調查期間,v1 DAI、TUSD、USDC、USDT資金庫都將暫停存款。”
詳細過程
雖然官方還未公佈後續報告,但已有研究員整理出Yearn Finance是如何被駭的。
《The Block》研究員Igor Igamberdiev認為這是一次閃電貸(Flash loan)攻擊:
“好的,又有新的DeFi攻擊事件了。
這次的受害者是@iearnFinance。
駭客共套利51.3萬枚DAI、170萬USDT,還有餘下的50.6枚3crv代幣。為了獲得這樣的利潤,駭客共執行11次交易”
閃電貸是隻在一個區塊交易中有效的貸款,如果借款人在交易結束前沒有償還這筆貸款,那麼閃電貸款就是失敗的,不會被執行。這是因為如果沒有滿足償還條件,區塊鏈不會執行這筆交易。而閃電貸的資產來自一個公共的智慧合約資金池,目前較為知名且流行的是由Aave和dYdX提供的資金池。
Igor Igamberdiev在推特寫下詳細過程:
從dYdX閃電貸借出11.6萬枚的ETH
從Aave閃電貸借出9.9萬枚的ETH
將兩筆資金抵押在借貸平臺Compound,並借出1.34億美元的USDC和1.29億的DAI
將1.34億美元的USDC和1.29億的DAI存入3crv Curve資金池
從3crv Curve資金池拿出1.65億美元的USDT
存入9,300萬DAI至y DAI資金庫
存入1.65億美元至3crv Curve資金池
從y DAI資金庫提款9,200 萬美元的DAI
從3crv Curve資金池拿出1.65億美元的USDT(6-9步驟重複5次)
歸還Compound借款,取回抵押品
歸還閃電貸借出的ETH
在上述過程中,駭客每次攻擊時,都會獲得大量地3 crv代幣,用以換取大量的穩定幣。
YFI暴跌
遭駭事件曝光後,也立即反映在幣價上。據幣安交易所資料,Yearn Finance的治理代幣YFI在兩小時內從最高34,985美元下跌至最低29,574美元,跌幅達15%。
目前YFI價格略有回升,截稿前報31,172 美元。