月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Gate.io > 正文

DAI:yearn finance被攻击手法公布,通过9步完成千万美元攻击_USD

作者:

时间:1900/1/1 0:00:00

2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队跟进分析,并以简讯的形式给大家分享细节,供大家参考:

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC

Ruler Protocol:赔偿金已送至Yearn Deployer,将由yearn.finance代为支付:9月8日消息,去中心化借贷平台Ruler Protocol和DeFi保险协议Cover Protocol同时发推表示,由于Ruler Protocol和Cover Protocol没有开发人员来支付赔偿金,所以其资金已送至Yearn Deployer,后续将由yearn.finance代为支付用户的赔偿金,在赔偿结束后,其用户界面将延续到10月并永久关闭。[2021/9/8 23:09:59]

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性

Yearn从YFI金库开始引入一键式迁移至v2金库功能:3月11日,yearn.finance (YFI)官方发推称,为简化迁移,官方从YFI金库开始引入一键式迁移功能。用户可将YFI从v1金库迁移至v2金库。[2021/3/11 18:34:51]

4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值

yearn.finance创始人:正确的去中心化协议并不需要决策者或名义上的负责人:yearn.finance创始人Andre Cronje在接受采访时表示,一个正确的去中心化协议不需要一个决策者或名义上的负责人,yearn计划过渡至一个更加去中心化的模型,在这个模型中,多签见证者将共同批准策略。

Andre称:“我们还没有完全实现过渡。我不同意那些认为我就是yearn的观点,因为这个项目并不需要我。如果我在接受这个采访时突然心脏病发作了,项目也会继续运营的。”(The Block)[2020/9/18]

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复

7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者

9.重复上述3-8步骤5次,并归还闪电贷,完成获利。

参考攻击交易:https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

标签:DAIUSDEARNYEADAI币iZUMi Bond USDEarn DeFi CoinYea Finance

Gate.io热门资讯
SYN:Synthetix Layer 2 吞吐量出现问题,预计需要24小时进行升级测试和部署_metis币会成为公链吗

据官方消息,合成资产协议Synthetix社区成员Justin今日凌晨在Discord发布公告称,“Layer2吞吐量存在问题,交易没有被处理。目前正在调查中,请等待.

1900/1/1 0:00:00
ENT:互动内容创作平台 Playcent 完成 100 万美元融资,将于 3 月 7 日在 Poolz 上进行 IDO_EnterDAO

针对DApp、游戏和NFT的互动内容创作平台Playcent宣布完成100万美元融资,投资方包括GenesisBlockVentures、LotusCapital、MoonwhaleVentur.

1900/1/1 0:00:00
STA:Staked 回应节点遭到 slash 惩罚:由技术性问题导致,将全额赔偿受影响客户_JUS

权益质押服务商Staked针对此前超70节点集体遭到slash惩罚回应称,2月2日有75个运行在Staked的节点遭到slash惩罚,这主要是由于技术性问题,客户将得到全额赔偿.

1900/1/1 0:00:00
数字货币:数字货币个人交易发生行为,平台是否构成帮助信息网络犯罪活动罪?_ARKS

本文来源:未央网作者:曾杰律师,金融犯罪辩护律师,广强律所高级合伙人暨非法集资案件辩护与研究中心主任卢捷培律师,广强律所非法集资案件辩护与研究中心核心律师对于个人投资和交易数字货币.

1900/1/1 0:00:00
比特币:为什么MicroStrategy和其他机构还在疯狂购买比特币?_STR

现在是进入加密市场的好时机吗?全球最大的加密货币比特币不仅上涨以触及图表上的另一个ATH,而且其市值昨天也突破了1万亿美元大关,这是两个月前难以想象的水平.

1900/1/1 0:00:00
区块链:“熔合技术、赋能产业”2021长三角(上海)区块链应用创新大赛正式开幕,等你来战!_TAUM

2021年长三角区块链应用创新大赛于3月8日正式拉开帷幕。此次大赛由上海区块链技术协会主办,拟邀请中共上海市委网络安全和信息化委员会办公室、上海市科学技术协会作为活动指导单位,长三角行业联盟作为.

1900/1/1 0:00:00