月亮链 月亮链
Ctrl+D收藏月亮链
首页 > UNI > 正文

USD:老牌DeFI项目被盗超1000万美元 简要梳理攻击过程_eth价格今日行情USDT

作者:

时间:1900/1/1 0:00:00

2023年4月13日,据Beosin-EagleEye态势感知平台消息,YearnFinance的yusdt合约遭受黑客闪电贷攻击,黑客获利超1000万美元。

https://eagleeye.beosin.com/RiskTrxDetail/0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d

关于本次事件,Beosin安全团队在白天已将简析以快讯的形式分享给大家,现在我们再将长文分享如下:

事件相关信息

攻击交易

0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d

0x8db0ef33024c47200d47d8e97b0fcfc4b51de1820dfb4e911f0e3fb0a4053138

Blur CEO评亚马逊进军NFT市场:老牌机构或难以有效驾驭新范式:金色财经报道,Blur首席执行官Tieshun Roquerre在谈到亚马逊进军NFT市场时表示,虽然这一举措是“积极”的,但带来的影响可能较为有限,他说道:“每当出现新的范式时,老牌机构很少能有效地驾驭,如果Web2公司能在Web3中做出引人注目的东西,我会感到惊讶。”不过,OpenSea 首席商务官Shiva Rajaraman对亚马逊涉足区块链和Web3持乐观态度。

此前报道,科技巨头亚马逊或将于4月24日推出其NFT平台“Amazon Digital Marketplace”,该平台将首先向美国客户提供服务,然后逐步推广至其他国家。[2023/3/15 13:05:03]

0xee6ac7e16ec8cb0a70e6bae058597b11ec2c764601b4cb024dec28d766fe88b2

攻击者地址

0x5bac20beef31d0eccb369a33514831ed8e9cdfe0

0x16Af29b7eFbf019ef30aae9023A5140c012374A5

攻击合约

BitMEX创始人:SBF打造了一个西方老牌精英认可的人设:11月18日消息,BitMEX创始人ArthurHayes发文探讨了FTX暴雷事件的思考,Arthur指出,SBF能够迅速崛起,并得到广泛的帮助和认可的一个重要原因在于,他打造了一个西方老牌精英认可的人设。文中认为,SBF出身高级白人家庭,且毕业于名校,他通过一系列的“向正确的圈子靠拢”的行为,将大量西方老牌金融精英拉上了FTX的马车。[2022/11/18 13:20:35]

0x8102ae88c617deb2a5471cac90418da4ccd0579e

攻击流程

下面以

0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d为例进行分析。

1.攻击者首先通过闪电贷借出了500万Maker:DaiStablecoin、500万USD以及200万Tether:USDTStablecoin作为攻击本金。

直播 | 方鱼 > 老牌交易所满币如何在合约市场异军突起:金色财经 · 直播主办的《 币圈 “后浪” 仙女直播周》第5期本期3:00准时开始,本期“后浪”仙女 满币网 CMO 将在直播间聊聊“老牌交易所满币如何在合约市场异军突起”,感兴趣的朋友扫码移步收听![2020/6/18]

2.攻击者调用aave池子合约的repay函数偿还其他人的欠款,这一步是为了将aave池子抵押收益降低,从而降低yearn:yUSDTToken合约中aave池子的优先级。

3.接着攻击者调用yearn:yUSDTToken合约的deposit函数质押了90万Tether:USDTStablecoin,该函数会根据质押量为调用者铸相关数量的yUSDT,计算方式与池子中各种代币余额有关,如下图,此时为攻击者铸了82万的yUSDT。

声音 | 真本聪创始人:老牌公链反弹有戏,破前高解套的可能性不大:2月12日晚间,真本聪RealSatoshi创始人索老头在做客“抹茶周三见”AMA时表示,“公链项目”的变数意味着更多投资机会。此外他还表示老牌国产公链在这个减半牛市中,短期博反弹收益应该不错,但破前高解套的可能性不大。据悉,真本聪RealSatoshi是一家活跃于中文加密社区的媒体,坚持以价值投资理念为核心,为读者带来原创内容的?输出。“MXC抹茶周三见”是MXC抹茶推出的一档AMA活动,不定期邀请重量级嘉宾在周三进行分享。[2020/2/13]

4.此时,合约中有90万Tether:USDTStablecoin与13万Aave:aUSDTTokenV1

声音 | Ripple首席营销策略师:Ripple手续费仅为老牌银行千分之一:据ambcrypto消息,日前Ripple首席营销策略师Cory Johnson在采访中解释,Ripple运营方式是向使用该服务的客户收取非常少的个人交易费用来获利。他明确表示,向客户收取的费用仅为老牌银行收费的千分之一。[2018/9/23]

5.接下来攻击者使用15万USD兑换了15万的bZxUSDCiToken,并将其发送给了yearn:yUSDTToken合约,此时,合约中有118万的资金,攻击者拥有90/103的份额,也就是能提取103万资金。

6.随后,攻击者调用yearn:yUSDTToken合约的withdraw函数提取质押资金,此时合约中仅有攻击者之前质押的90万Tether:USDTStablecoin、初始的13万Aave:aUSDTTokenV1以及攻击者转入的15万bZxUSDCiToken,而如果一个池子中代币不足的话,会按顺序提取后续池子的代币,此时攻击者将90万Tether:USDTStablecoin以及13万Aave:aUSDTTokenV1全部提取出来,经过本次操作,合约中仅有15万bZxUSDCiToken。

7.随后,攻击者调用yearn:yUSDTToken合约的rebalance函数,该函数会将当前池子的代币提取出来,并质押到另一个收益更高的池子中,由于第2步操作,合约会将USDT和USDC提取出来,添加到收益更高的池子中,但当前合约仅有bZxUSDCiToken,也只能提取出USDC,提取出来后将复投到其他USDT池子,此时复投将跳过。

8.攻击者向池子中转入1单位的Tether:USDTStablecoin,并再次调用yearn:yUSDTToken合约的deposit函数质押了1万Tether:USDTStablecoin,由于第7步的操作,合约已经将所有池子中的资金全部取出来了,并且没办法添加到新池子中,导致pool这个变量计算出来就是攻击者向其中打入的1,而作为除数的pool,将计算出一个巨大的值,向攻击者铸了1.25*10^15枚yUSDT。

9.最后,攻击者利用yUSDT将其他稳定币全部兑换出来并归还闪电贷。

漏洞分析

本次攻击主要利用了yUSDTToken合约配置错误,在进行rebalance重新选择池子的时候,仅使用了USDT作为添加数量,而USDC无法添加池子,从而导致了攻击者使用USDC将该合约所有USDT“消耗掉”后,池子余额变为了0,从而铸了大量的代币。

资金追踪

截止发文时,BeosinKYT反分析平台发现被盗资金1150万美元部分已经转移到Tornadocash,其余还存储在攻击者地址。

总结

针对本次事件,Beosin安全团队建议:初始化配置时进行严格检查。同时项目上线前建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

原文:《被盗超1000万美元,YearnFinance如何被黑客“盯上”?》

来源:panewslab

标签:USDUSDTSDTTOKDUSD价格USDT币提现微信eth价格今日行情USDTtokenpocket币被转走了

UNI热门资讯
ETH:以太坊質押的現狀與未來_以太坊

原文作者:Ignas原文编译:Kxp,BlockBeatsEthereum质押机制的现在和未来可以概括为以下四个方面:市场领袖最佳收益率趋势未来的催化剂ETH在Crypto中拥有最好的Token.

1900/1/1 0:00:00
Magi:a16z:为何推出Optimism Rollup新客户端Magi_Magic Shiba Starter

虽然最近Arbtrum大有超越Optimism之势,但Optimism也在默默蓄力。继Coinbase之后,有一家加密巨头选择了OPStack.

1900/1/1 0:00:00
Arthur Hayes: 「去美元化」进行时 谁能取代美元?

原文作者:ArthurHayes原文编译:GaryMa吴说区块链注:本文是原文的翻译版本,在翻译过程中进行了部分内容的删减和概括。由于篇幅限制或其他原因,可能有些细节或信息未被完整翻译或被删除.

1900/1/1 0:00:00
NFT:金色Web3.0日報 | 香港將於5月發布加密貨幣交易平台許可指南_EFI

DeFi数据1、DeFi代币总市值:494.94亿美元 DeFi总市值及前十代币数据来源:coingecko2、过去24小时去中心化交易所的交易量31.

1900/1/1 0:00:00
SUI:Sui公链的特色优势、生态、代币模型、投资价值_sui币价格

2023年4月20日根据官方推特消息公告,公链项目Sui已经敲定将在5月3日上线主网,而事先通过加密货币交易所发售的原生代币SUI也将在主网启动期间被解锁.

1900/1/1 0:00:00
ATG:如何在AI热潮前保持清醒_CHA

1、由chatGPT火爆带来的关于AI大模型的新闻、新产品、新观点、新技术越来越多,会加深人们对于信息本身的焦虑.

1900/1/1 0:00:00