CertiK:Yearn.Finance惊爆漏洞,DeFi再遭打击,一文带你探明事件始末

2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿美元,创下历史新高,本文撰写时为478.3亿美元,约等于3095亿人民币。

2020年被称为“DeFi元年”,DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发,然而其安全风险居高不下。北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。黑客通过闪电贷获得攻击启动资金,利用Yearn项目代码漏洞,完成整个攻击。攻击者获利数目截图

Arbitrum:“Sequencer资金用完”报道不实:金色财经报道,Arbitrum Sequencer(排序器)今日凌晨出现Bug,导致该网络批量提交交易的功能短暂中断,交易无法在主链上得到确认,目前问题已得到解决。Arbitrum Developer官推在社交媒体就相关问题进行了澄清,表示网络临时暂停只是为了完成交易排序,而Sequencer服务本身没有中断,有报道称Sequencer资金用完是不正确的。Arbitrum Developer官推进一步解释称,Arbitrum资金机制由两个钱包组成,分别是:“Sequencer”钱包和“gas-refunder”钱包,只有当Sequencer可以成功发布批次时才会被退款,Arbitrum网络没有就此故障向Sequencer退款,相关问题也不是因为Sequencer资金耗尽所致。[2023/6/8 21:23:34]

此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易,交易列表如下:

CertiK:Redemption-LP遭到闪电贷套利攻击 损失15万WFTM:据CertiK安全团队监测,Redemption-LP于北京时间2022年4月18日19点35分遭到闪电贷套利攻击,损失约合110万元人民币(15万WFTM)。该事件发生的原因在于:闪电贷在还款前,不收取任何费用,相应的代币会直接从Redemption-LP pair转给distributor,导致Redemption-LP与其他正常pair之间出现价格差异。[2022/4/19 14:32:42]

除开3笔转换代币交易之外,剩余11笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。攻击大致流程图如下:具体步骤如下:利用闪电贷筹措攻击所需初始资金。

火币全球站将于8月8日18:00上线BAL (Balancer):据火币全球站公告,将于2020年8月8日18:00 (GMT+8) 开放BAL (Balancer) 充币业务。8月9日11:00 (GMT+8) 开放BAL/USDT、BAL/BTC、BAL/ETH币币交易。8月9日11:00 (GMT+8) 开放BAL提币业务。[2020/8/8]

利用Yearn.Finance合约中漏洞,反复将DAI与USDT从3crv中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。完成5次重复的DAI与USDT从3crv中存取操作后,偿还闪电贷。

CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续分析中进行详解。

总结

加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险,此次漏洞的爆发同样是DeFi领域的一个警示。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

Coinw加密猫 球星卡 他们是“天价”NFT的制造者

“人类诞生以来的第一件事情就是收藏。”2018年12月,在世界TED演讲大会上,DapperLabs创始人RohamGharegozlou侃侃而谈。“从石子到贝壳再到动物的牙齿,我们的祖先从来没有停下收藏的脚步.

FIL加密货币和YouTuber一起穿越牛熊

无论看起来是多么的有利可图,在加密市场浮沉都不是一件容易的事。即使我们处于牛市之中,识别机会和管理风险都需要你了解技术和订单动态,以及币的基本面及其在宏观背景下的相关性.

BNB关于WBF暂时关闭XTZ提币的公告

尊敬WBF用户: 由于XTZ钱包升级,XTZ现将暂时关闭提币,关闭时间可能提前或延后,具体恢复时间将以公告另行通知。给您造成的不便敬请谅解,如有疑问,请咨询WBF官方客服.

[0:0ms0-1:586ms