一、事件概览
北京时间2021年2月5日,舆情监测到,DeFi知名项目YearnFinance发生闪电贷攻击事件。
简言之,本次攻击事件的具体手法为攻击者利用闪电贷借取巨额资金,而后进行循环套利。根据成都链安安全团队的响应和分析,本次攻击事件的合约为yValut+CurvePool。
声音 | 火币大学于佳宁:产业区块链将在2020年全面落地,引发社会经济全方位变革:12月28日,在区块链技术应用与发展主题座谈会上,火币大学校长于佳宁表示,技术的价值要通过切实帮助产业转型升级、提质增效体现出来,给产业带来的价值增量才是技术的价值。产业区块链将在2020年全面落地,引发社会经济全方位变革。他表示,未来区块链将成为交易中的一部分,成为一种新的信任要素,这将对价值链上的传统行业带来重大改变。于佳宁认为,区块链不仅仅是一项技术,“区块链+”也不仅仅是“技术+”,它更是商业模式、组织形态,甚至思维方式的全方位变革。区块链思维是一种互联网思维、金融思维和产业思维的融合。随着5G的到来,区块链与其他技术结合给产业带来的生产率提升不是10倍,而是100倍。[2019/12/29]
二、事件分析
动态 | 四方精创报告:具备从区块链底层平台到应用解决方案的全方位研发交付能力:四方精创(300468)发布2019年半年度报告。报告中表示,该公司积极投入分布式、区块链、跨境支付、云计算等新技术研发,公司目前已具备从区块链底层平台到应用解决方案的全方位研发与交付能力,具备区块链+通证经济融合创新应用的能力,并在数字货币、应用型通证等加密数字资产领域积累了丰富的研发与运营经验。报告还表示,该公司结合自身经营情况,一直致力于通过创新驱动战略,加大力度研发分布式架构、区块链及支付类等新技术,通过与全球不同的区块链联盟、商业机构与高校的合作,不断在区块链领域实现创新与突破。[2019/8/30]
1.攻击者在yVault合约中存入DAI,并调用earn触发yValut向流动性池使用DAI添加流动性,如下图所示:
声音 | 嘉兴南湖区:加快人才引进 推进区块链技术研究院的建设和全方位合作:据嘉兴日报3月12日消息,目前,嘉兴市南湖区委人才办正在积极开展人才培育引进计划。今年,南湖区表示将加快“高精尖缺”人才引进,推进图灵奖、诺贝尔奖获得者等国际顶级人才领衔的区块链技术研究院、医学实验室的建设和全方位合作,集聚一批全球顶尖研发团队和世界一流创新集群。[2019/3/12]
动态 | 盛御珠宝进行全方位链改:10月22日,深圳星火链科技、深圳区块链信息湾和盛御珠宝联合发布了中国首个珠宝行业链改解决方案,从法律、技术、商业模式等维度帮助盛御珠宝进行全方位链改,同时消费者、合作伙伴、设计师等参与者都可以获得Token,享受盛御珠宝分红和其它权益服务。[2018/10/22]
上图红框显示,在进行铸币时,需要读取合约中的DAI余量,但因为策略合约中的DAI已经抵押至curve合约进行盈利,所以要计算DAI代币的量,只能通过价值换算,计算出所持有的Curve代币能够兑换的DAI的量。
2.攻击者利用借来的资金向流动性池使用USDT添加流动性,获得Curve代币,如下图所示:
这里值得注意的是,攻击者向池中注入的是单一的USDT,因为池子的特性,我们知道,当一种代币的含量上升,其相对价格也就下降。
3.攻击者取出yValut合约中存入的DAI,如下图所示:
根据#2可知,此时的池子中因为USDT的含量增加,所以DAI的相对价格是上升的,这也就导致攻击者所持有的Curve代币兑换出的DAI相对下降,池子中将会余留少量DAI。
4.攻击者指定与添加流动性时相等的USDT数量,进行流动性移除,注意这里因为#3时将一部分DAI取走,所以USDT的相对#2时价格下降,所以这里将余下一部分Curve代币.
?
不断进行上述循环,这使得攻击者消耗DAI进而获取Curve代币。
经过多次循环之后,攻击者套取了大量的Curve代币,而将DAI代币打入了Curve合约中。在整个攻击流程结束时,攻击者使用Curve代币,兑换出DAI/USDC。
这次兑换,因为不是USDT的兑换,即使此时的DAI相对攻击前含量较高,也会按照同等比例进行兑换,也就是攻击者打入Curve池子中多出的DAI代币,也会分发给攻击者。
这里,我们再来看攻击者在进行攻击时的第一步操作,如下图所示:
攻击者利用闪电贷向池子中添加了巨量的流动性,这就导致这些多出的DAI,最终将会大部分分给攻击者。
而除去这一部分损失,攻击者还获得了更多的Curve代币,从而获利。
三、安全建议
针对本次事件,成都链安安全团队认为,很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查,进而导致闪电贷攻击事件的发生。
在此,成都链安需要提醒区块链各生态项目方,切不可因项目上线完成之后就掉以轻心,做好日常的安全排查和安全加固等工作,寻求第三方安全公司的力量,建立一整套的安全防护机制,防范于未然。
我们根据多个交易所的限价指令薄数据构建了一种比特币市场整体情况指标,借此来揭示市场整体深度情况,并采用贝叶斯统计来推断支撑位和阻力位的位置.
1900/1/1 0:00:007:00-12:00关键词:THETA信托、Robinhood、SushiSwap1.灰度新注册THETA信托基金产品THETA日内快速上涨15%;2.
1900/1/1 0:00:00在A16Z加持下,Clubhouse有可能成为音频社交领域的下一家Twitter、Facebook或TikTok.
1900/1/1 0:00:00"毫无疑问,去中心化平台是需要为用户的侵权行为负责的。"——Dimension?合规负责人?KattGu?自2021年1月25日起,BCA团队发现了一起"盗窃案".
1900/1/1 0:00:00FX168财经报社讯?周三,比特币连续第三天走高,触及过去几周交易区间的上限3.6万美元。 “加密货币已经进入了受人尊敬的领域,”管理3100亿美元的基金管理公司GuggenheimPartne.
1900/1/1 0:00:00DeFi是能够造福人类的银行业的未来Cointelegraph中文刚刚8暴走时评:自大衰退后,公众对银行和银行家的信任从未完全恢复,为DeFi在这一特殊领域的发展提供了机会.
1900/1/1 0:00:00