YEA:Yearn因黑客攻击而损失1100万美元，这是如何发生的？_CDAI币

"2月5日，YearnFinancev1版本的yDAI机池漏洞被利用，损失1100万美元，该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV，大约280万美元。目前团队正在针对此次事件进行调查，暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5点左右，yearn官方在推特上表示，

“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”

Yearn Finance自推出以来累计收入超3900万美元:9月8日消息，自推出以来，Yearn Finance已累计赚取了超3900万美元的收入（不包括储户赚取的利息）。过去30日，该协议共赚取超500万美元的收入，Yearn Finance预计本年收入将达3000万美元。[2021/9/8 23:09:36]

Yearn核心开发者banteg随后发布信息表示，

“YearnDAIv1机池被黑客攻击，攻击者已获得280万美元，整个机池损失了1100万美元。在我们调查期间，针对v1DAI，TUSD，USDC，USDT机池的策略存款将会被禁用。”

yearn.finance宣布推出yVault产品线新品yvBOOST:yearn.finance宣布推出yVault产品线的新品yvBOOST，允许用户将从yveCRV vault赚取的3Crv售出为CRV并存回该vault，增加yvBOOST的yveCRV余额。

通过该vault，用户将获得长期CRV的复利敞口，同时随着时间的推移，通过Curve Finance策略，用户将增加所有Yearn vault的收益。

官方表示，为了创造流动性，已在SushiSwap上创建了yvBOOST-ETH池。目前的yveCRV-ETH池将迁移到yvBOOST-ETH，团队将发布一个工具帮助用户进行迁移。

具体存款方案如下：- 向yveCRV存款每周获得3Crv分发；- 向yvBOOST存款每周获得CRV长期复利敞口；- 向yvBOOST-ETH池存款获得高收益；- 向yvBOOST存款并开始赚取收益。[2021/5/1 21:16:37]

Yearn Finance：DAI v1 vault遭到攻击:金色财经报道，Yearn Finance发推文称，已注意到DAI v1 vault遭到了攻击。目前该漏洞已得到缓解，此后会发布完整报告。[2021/2/5 18:56:30]

banteg还表示，yearn团队对这次攻击的应对反应迅速，从发现到实施缓解总共用时10分钟14秒，将原本可能导致3500万美元损失降低到1100万美元。

在这次漏洞攻击中，攻击者拿走了280万美元，而另外超过300万美元资金流向了Curve质押者。

yearn.finance发起提案YIP 10：若投票通过，YFI将仅用于治理决策:yearn.finance在推特上宣布正在进行提案YIP 10的投票。法定人数为28.38%，目前几乎达到33%。如果该提案通过，YFI将仅用于治理决策。[2020/7/26]

黑客攻击手法

TheBlock研究分析师IgorIgamberdiev表示，攻击者在这次漏洞中总共执行了11个步骤。

1/通过闪电贷从dYdX借来11.6万ETH

2/通过闪电贷从Aavev2借来9.9万ETH

3/使用ETH作为抵押品借入1340万USDC和1290万DAI

4/在3crvCurve池中添加1340万USDC和360万DAI

5/从3crvCurve池中提取1.65亿USDT

6/以下操作重复5次：

-将930万DAI存入yDAI机池

-将1650万USDT添加到3crv池中

-从yDAI机池中提取920万DAI

-从3crv池中提取1.65亿USDT

7/最后一次取款3900万DAI和1.34亿USDC，而不是USDT

8/偿还Compound借贷

9/偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币，然后将其兑换为稳定币。有意思的是，竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

截止目前，yearn还未发布关于这次攻击的详细漏洞报告，具体资金流向还不清楚。

标签：YEAEARNDAICRVYearn Finance Bit2YearnlabCDAI币CRV价格

USDC热门资讯