DEFI:CertiK：还原Yearn.Finance被攻击始末_picklefinance

2月5日消息，据DeBank数据显示，DeFi真实锁仓量突破470亿美元，创下历史新高，本文撰写时为478.3亿美元，约等于3095亿人民币。

2020年被称为“DeFi元年”，DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发，然而其安全风险居高不下。北京时间2月5日凌晨，CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件，攻击总损失高达约7100万人民币，黑客从中获利约1800万人民币。黑客通过闪电贷获得攻击启动资金，利用Yearn项目代码漏洞，完成整个攻击。

瑞典、挪威和以色列央行将与BIS测试央行数字货币跨境支付:9月28日消息，瑞典央行（Riksbank）于今日表示，瑞典、挪威和以色列央行已与国际清算银行（Bank for International Settlements）启动了一个项目，用央行数字货币测试国际零售汇款支付业务。（路透社）[2022/9/28 22:37:26]

攻击者获利数目截图

数据：当前ETC全网算力为38.78TH/s，创历史新高:8月18日消息，据2Miners数据显示，当前ETC全网算力为38.78TH/s，24小时涨幅达24.89%，创历史新高。[2022/8/18 12:34:22]

此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易，交易列表如下：

Web3教育平台Neol完成520万美元种子轮融资:6月21日消息，Web3教育平台Neol完成520万美元种子轮融资，Kyu Collective和Global Ventures共同领投，DoorDash、LearnStart、FJLabs、ParibuVentures的CEO Tony Xu参投。该笔融资用于支持Web3人才培训和捐赠活动。

据悉，Neol是一家总部位于伦敦的公司，旨在建立更丰富的学术社区从而让推动教育发展，社区成员可以建立自己的群组和创建Neol代币。（sifted）[2022/6/21 4:42:31]

除开3笔转换代币交易之外，剩余11笔获利交易均针对同一个漏洞，使用相同的攻击方式完成的获利。攻击大致流程图如下：

具体步骤如下：

利用闪电贷筹措攻击所需初始资金。利用Yearn.Finance合约中漏洞，反复将DAI与?USDT?从3crv中存入和取出操作，目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。完成5次重复的DAI与USDT从3crv中存取操作后，偿还闪电贷。CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞，更多漏洞细节将在后续分析中进行详解。总结

加密世界的交互往往都伴随着一定的风险，而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险，此次漏洞的爆发同样是DeFi领域的一个警示。

标签：DEFIEARNDEFEFIWDEFIYearn IncomeDEFY价格picklefinance

火必交易所热门资讯