CertiK:Yearn.Finance驚爆漏洞,一文帶你探明事件始末

買賣虛擬貨幣

2月5日訊息,據debank資料顯示,defi真實鎖倉量突破470億美元,創下歷史新高,本文撰寫時為478.3億美元,約等於3095億人民幣。

2020年被稱為“defi元年”,defi在compound首創的 “流動性挖礦”推動下獲得了歷史性的大爆發,然而其安全風險居高不下。
北京時間2月5日凌晨,certik安全技術團隊發現defi專案yearn.finance發生攻擊事件,攻擊總損失高達約7100萬人民幣,駭客從中獲利約1800萬人民幣。
駭客透過閃電貸獲得攻擊啟動資金,利用yearn專案程式碼漏洞,完成整個攻擊。
攻擊者獲利數目截圖
此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易,交易列表如下:

除開3筆轉換代幣交易之外,剩餘11筆獲利交易均針對同一個漏洞,使用相同的攻擊方式完成的獲利。
攻擊大致流程圖如下:
具體步驟如下:
  • 利用閃電貸籌措攻擊所需初始資金。

  • 利用 yearn.finance 合約中漏洞,反覆將 dai 與 usdt 從 3crv 中存入和取出操作,目的是獲得更多的3crv代幣。這些代幣在隨後的3筆轉換代幣交易中轉換為了usdt與dai穩定幣。完成5次重複的dai 與 usdt 從 3crv 中存取操作後,償還閃電貸。

  • certik安全技術團隊當前正在審查yearn.finance中存在的漏洞,更多漏洞細節將在後續分析中進行詳解。


總結

加密世界的互動往往都伴隨著一定的風險,而投資於安全的專案會收到更加長遠的回報。

而高收益必定伴隨著高風險,此次漏洞的爆發同樣是defi領域的一個警示。

certik建議:

完備的安全保障=安全審計+實時檢測+資產保障

?

certik審計服務+certik實時檢測安全預言機+skynet天網+certikshield去中心化資產保障計劃

certik的一系列安全服務及工具,可覆蓋專案及使用者的資產安全需求。

對於投資者來說,在投資一個專案之前,可以對照衡量專案方的安全實力之後,再做投資考慮。

如有審計需求,歡迎點選certik公眾號底部對話方塊,留言免費獲取諮詢及報價!

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读