DeFi项目Yeld.finance称该项目的DAI池遭受到闪电贷攻击,但成都链安分析称,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。
事件概览
北京时间2021年2月27日,舆情监测到,DeFi知名项目Yeld.finance官方发出通告,表示该项目的DAI池遭受到闪电贷攻击,原文链接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b
成都链安安全团队第一时间介入响应,对原文中所提及的交易
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。闪电贷攻击表示不背这个锅。
Bakkt 面向个人的应用将于 3 月 16 日停止服务:2月13日消息,数字资产平台 Bakkt 宣布其面向个人的应用将于 3 月 16 日停止服务,未来将专注其 B2B 技术解决方案,即通过安全合规平台上的 SaaS 和 API 解决方案,为企业的客户提供加密货币和忠诚度解决方案。当前的 Bakkt App 用户将保留对 Bakkt 平台上所有加密货币和现金的访问权限。用户仍将能够查看加密货币余额,以及出于计算税收目的访问加密货币交易报告。[2023/2/14 12:04:43]
事件分析**
Orbiter Finance完成首轮融资,V神曾为其捐赠16 ETH:11月30日消息,Layer2跨Rollup桥Orbiter Finance宣布完成首轮融资,Tiger Global、Matrixport、A&T Capital、Starkware、Cobo Ventures、imToken、Mask Network、Zonff Partners等参投。暂未披露融资金额。Orbiter Maker即将部署测试网,接下来项目将进入第二阶段,重点建设算法应用和链间扩展方案。
项目方还对Vitalik Buterin做出了感谢,此前Vitalik Buterin曾为该项目捐赠16 ETH。[2022/11/30 21:10:50]
图1交易信息
如图1所示,该笔交易是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移,分别用T1到T6表示。那么,这些代币转移究竟是什么操作导致的呢?下面通过代码进行分析:
Dash Core v0.16 RC3已在测试网上发布:Dash在推特上表示,Dash Core v0.16 RC3已在测试网上发布,该版本包括最近由该网络批准的区块奖励重新分配。[2020/9/15]
图2deposit函数源代码
很明显,第538行代码,产生导致了序号为T1的代币转移,将token转移到yDAI合约。这是一笔普通的代币转账,表示用户存入了9,377DAI到yDAI合约。
ZB 创新智库:十二月份披露区块链公开融资事件 16 起,多个知名项目完成融资:据 ZB 创新智库统计,2019 年十二月份公开披露的区块链融资事件 16 起,环比下降 33% 以上。区块链金融板块独占鳌头,发生融资 11 起;企业服务板块融资 3 起。ZB 创新智库分析师表示:区块链融资呈现出向头部知名项目显著倾斜的趋势,比如 Ripple、MakerDao、Nervos、云象区块链等先后获得注资,而初创企业和早期项目获得的资金数量或许正在大幅减少。[2020/1/2]
第541-553行代码,是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表示yDAI合约向用户铸了9,306yDAI。
然后进入第555行的rebalance函数,分析该函数的逻辑。
动态 | BTC合约多空持仓人数比为1.16 多空双方激烈拉锯中:截至12月13日10:30,根据OKEx合约大数据显示,目前BTC合约多空持仓人数比为1.16,季度合约基差13.99美元,永续合约基差2.49美元;BTC合约持仓总量5,589,359张,24h交易量14,841,377张;主动买入量190,778张,主动卖出量178,809张;精英账户做多账户比55%,多头持仓比20.9%,做空账户比43%,空头持仓比19.53%。
分析师表示,BTC合约多空持仓人数比为1.16,多空双方人数相对均衡,但多方人数小幅领先,季度合约基差保持在0附近,,持仓总量保持稳定,多空双方势力互不相让;BTC合约精英持仓方面,做多账户比与多头持仓比继续保持小幅领先,多军势力稍强但不明显。[2019/12/13]
图3rebalance函数源码
图4recommend函数
第732行代码会计算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询结果如图5所示:
图5recommend查询结果
其中dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。
图6_withdrawAll函数源代码
第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币转移,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。
最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。
整个交易就此结束,可以看到,这次所谓的「闪电贷攻击」只是「虚惊一场」。用户只是单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的策略机制,并不是所谓的「闪电贷攻击」,可谓是闹了场「乌龙事件」。
值得注意的是,dYdX在该事件中充当了一个「良心商家」的角色,并不是以往闪电贷攻击中的帮凶。
安全建议
尽管本次事件经成都链安安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击加以预警和防范。
同时,作为致力于区块链生态安全建设的成都链安也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建覆盖全生命周期的一站式安全解决方案方为万全之策。
市场概述:继上期报告所述,本周比特币CME缺口位置为49405-50580,昨日下午回补至49500,仅差仅差95美金完全回补;昨晚纳指反弹至关键位13000一线,如期再度下杀.
1900/1/1 0:00:00“治理民主”波卡VS以太坊:EIP1559生死难料以太坊民主危局链得得刚刚311739年,苏格兰哲学家休谟写道,公民政府的起源,是因为“人们无法从根本上救治自己或他人的灵魂之狭隘.
1900/1/1 0:00:00市场概述:2月26日10年期美债收益率突破1.5%这一关键点位,盘中一度达到1.61%,为去年2月以来的最高点,引发全球风险资产动荡.
1900/1/1 0:00:00进入2021年,比特币一路猛涨,接连突破3万美元、4万美元、5万美元大关。矿机市场也由此掀起一波高潮,新老矿机价格翻番。然而,看似火热的市场,实则暗流涌动,暴涨暴跌愈发频繁.
1900/1/1 0:00:00“谁能扛起跨Rollup交互的大旗?三月将会是Rollup扩容方案的高光时刻。从进度看各个?Rollup方案已经蓄势待发,有些方案已经明确将会在3月上线,而Rollup扩容方案的上线,将会为行业.
1900/1/1 0:00:00拜登政府的1.9万亿经济刺激计划取得了关键性进展。当地时间3月6日,美国国会参议院表决以50票赞成、49票反对的结果通过该项计划.
1900/1/1 0:00:00