月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 酷币 > 正文

DAI:成都链安:DeFi项目Yearn Finance闪电贷攻击事件分析_MDAI

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间2021年2月5日,舆情监测到,DeFi知名项目YearnFinance发生闪电贷攻击事件。?

简言之,本次攻击事件的具体手法为攻击者利用闪电贷借取巨额资金,而后进行循环套利。根据成都链安安全团队的响应和分析,本次攻击事件的合约为yValutCurvePool。

二、事件分析

1.攻击者在yVault合约中存入DAI,并调用earn触发yValut向流动性池使用DAI添加流动性,如下图所示:

成都链安:ApolloX 项目方因签名系统缺陷被攻击,损失约160万美元:金色财经消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,ApolloX 项目遭受攻击,根据成都链安技术团队分析,发现ApolloX签名系统存在缺陷,攻击者利用签名系统缺陷生成了255个签名,总共从合约中提取了53,946,802$APX,价值约160万美元,目前被盗金额通过跨链已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代币APX在今日19:00左右从0.054美元快速跌至0.019美元,闪跌约60%。[2022/6/9 4:11:35]

△图1

仙人掌CTS智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成仙人掌CTS智能合约项目的安全审计服务。

?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链,同时包含去中心化稳定数字货币,去中心化预言机,去中心化保险,流动性挖矿,智能挖矿等等功能的创新和聚合,进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募,社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。

合约地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

审计报告编号:202009262149[2020/9/28]

上图红框显示,在进行铸币时,需要读取合约中的DAI余量,但因为策略合约中的DAI已经抵押至curve合约进行盈利,所以要计算DAI代币的量,只能通过价值换算,计算出所持有的Curve代币能够兑换的DAI的量。

声音 | 成都链安:用户安全意识不足、交易所安全体系不够完善等因素造成交易所安全事件频发:成都链安统计数据显示,近期交易所安全问题时有发生。通过总结近期各种交易所安全事件和用户丢币事件,成都链安分析认为,交易所安全事件的问题来源主要有三点:1、用户安全意识不足,导致误入钓鱼网站等进而私密信息被盗。2、交易所安全体系不够完善,平台自身存在安全漏洞。3.交易所外接数据服务或其他服务后,未针对不可控因素建立应急机制。[2019/8/26]

2.攻击者利用借来的资金向流动性池使用USDT添加流动性,获得Curve代币,如下图所示:

△图2

这里值得注意的是,攻击者向池中注入的是单一的USDT,因为池子的特性,我们知道,当一种代币的含量上升,其相对价格也就下降。

3.攻击者取出yValut合约中存入的DAI,如下图所示:

△图3

根据#2可知,此时的池子中因为USDT的含量增加,所以DAI的相对价格是上升的,这也就导致攻击者所持有的Curve代币兑换出的DAI相对下降,池子中将会余留少量DAI。

4.攻击者指定与添加流动性时相等的USDT数量,进行流动性移除,注意这里因为#3时将一部分DAI取走,所以USDT的相对#2时价格下降,所以这里将余下一部分Curve代币。

△图4

不断进行上述循环,这使得攻击者消耗DAI进而获取Curve代币。

经过多次循环之后,攻击者套取了大量的Curve代币,而将DAI代币打入了Curve合约中。在整个攻击流程结束时,攻击者使用Curve代币,兑换出DAI/USDC。

这次兑换,因为不是USDT的兑换,即使此时的DAI相对攻击前含量较高,也会按照同等比例进行兑换,也就是攻击者打入Curve池子中多出的DAI代币,也会分发给攻击者。

这里,我们再来看攻击者在进行攻击时的第一步操作,如下图所示:

△图5

攻击者利用闪电贷向池子中添加了巨量的流动性,这就导致这些多出的DAI,最终将会大部分分给攻击者。

而除去这一部分损失,攻击者还获得了更多的Curve代币,从而获利。

三、安全建议

针对本次事件,成都链安安全团队认为,很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查,进而导致闪电贷攻击事件的发生。

在此,成都链安需要提醒区块链各生态项目方,切不可因项目上线完成之后就掉以轻心,做好日常的安全排查和安全加固等工作,寻求第三方安全公司的力量,建立一整套的安全防护机制,防范于未然。

标签:DAICURCurveUSDMDAICurveLP sBTC CurveUSDFL币

酷币热门资讯
DEFI:得益于 Compound 和 Uniswap,DeFi Dapps 的价值上升到了 300 亿美元_DeFinition

1月30日,随着整个DeFi行业在2021年继续发展,DeFidappUniswap和Compound均飙升至历史新高.

1900/1/1 0:00:00
比特币:新冠病是否影响了比特币价格?_DATA

新冠病大流行已经影响并将继续影响地球上几乎所有人。对许多人来说,查看最新的新冠确诊数据就像早起的那杯咖啡一样,已经成为了一种习惯.

1900/1/1 0:00:00
SBF:SBF:在《英雄联盟》的正义之地,我找到了内心的平静_ramp币创始团队

本文来自FTX创始人SamBankman-Fried推特,原文作者:SBF,由Odaily星球日报译者Katie辜编译。1.?在游戏《英雄联盟》的正义之地里,我找到了内心的平静.

1900/1/1 0:00:00
以太坊:进击的巨人,以太坊为何暴涨?_UNI

编者按:本文来自?加密谷Live,作者:JoshStark,翻译:Davida,Odaily星球日报经授权转载.

1900/1/1 0:00:00
EGG:EGG Network超級公鏈開創New-DeFi時代_MOONBAR

EGGNetwork是新一代超級DeFi公鏈,為DAPP場景開發者提供一系列鏈上技術範本,允許上萬級場景在EGG公鏈中建立和使用區塊鏈技術運行的去中心化應用;EGGNetwork也是一個分佈式資.

1900/1/1 0:00:00
HOT:Hotbit 定于2021年2月8日上线 MNE(Minereum)_OTB

尊敬的用户:Hotbit即将在开启MNE(Minereum)数字资产服务具体安排如下:充值时间:2021年02月08日14:00??(香港时间)交易时间:2021年02月08日16:00??(香.

1900/1/1 0:00:00