2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿美元,创下历史新高,本文撰写时为478.3亿美元,约等于3095亿人民币。
2020年被称为“DeFi元年”,DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发,然而其安全风险居高不下。北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。黑客通过闪电贷获得攻击启动资金,利用Yearn项目代码漏洞,完成整个攻击。攻击者获利数目截图
Arbitrum:“Sequencer资金用完”报道不实:金色财经报道,Arbitrum Sequencer(排序器)今日凌晨出现Bug,导致该网络批量提交交易的功能短暂中断,交易无法在主链上得到确认,目前问题已得到解决。Arbitrum Developer官推在社交媒体就相关问题进行了澄清,表示网络临时暂停只是为了完成交易排序,而Sequencer服务本身没有中断,有报道称Sequencer资金用完是不正确的。Arbitrum Developer官推进一步解释称,Arbitrum资金机制由两个钱包组成,分别是:“Sequencer”钱包和“gas-refunder”钱包,只有当Sequencer可以成功发布批次时才会被退款,Arbitrum网络没有就此故障向Sequencer退款,相关问题也不是因为Sequencer资金耗尽所致。[2023/6/8 21:23:34]
此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易,交易列表如下:
CertiK:Redemption-LP遭到闪电贷套利攻击 损失15万WFTM:据CertiK安全团队监测,Redemption-LP于北京时间2022年4月18日19点35分遭到闪电贷套利攻击,损失约合110万元人民币(15万WFTM)。该事件发生的原因在于:闪电贷在还款前,不收取任何费用,相应的代币会直接从Redemption-LP pair转给distributor,导致Redemption-LP与其他正常pair之间出现价格差异。[2022/4/19 14:32:42]
除开3笔转换代币交易之外,剩余11笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。攻击大致流程图如下:具体步骤如下:利用闪电贷筹措攻击所需初始资金。
火币全球站将于8月8日18:00上线BAL (Balancer):据火币全球站公告,将于2020年8月8日18:00 (GMT+8) 开放BAL (Balancer) 充币业务。8月9日11:00 (GMT+8) 开放BAL/USDT、BAL/BTC、BAL/ETH币币交易。8月9日11:00 (GMT+8) 开放BAL提币业务。[2020/8/8]
利用Yearn.Finance合约中漏洞,反复将DAI与USDT从3crv中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。完成5次重复的DAI与USDT从3crv中存取操作后,偿还闪电贷。
CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续分析中进行详解。
总结
加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。
而高收益必定伴随着高风险,此次漏洞的爆发同样是DeFi领域的一个警示。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。