Arnau Cube

网址:http://arnaucube.com

慢雾:yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH;

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC;

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性;

4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值;

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币;

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复;

7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

对密码与去中心化颇感兴趣。

Yearn.finance:观察到大笔与Harvest Finance相关交易 但所有系统不受影响:Yearn.finance官方刚刚发推文称,早间我们观察到一个很大的交易活动,资产APY(年化收益)的增加与锁仓量TVL的减少相一致。调查显示,这是由于与Harvest Finance相关的交易活动增加和撤资所致。所有系统都不受影响。[2020/10/26]

Arnau Cube 对密码与去中心化颇感兴趣的软件开发工程师,目前在 iden3 工作。他在空闲时间,还会为 Go-Snark、Kvartalo 贡献代码。

yearn.finance:50%系统奖励已分配给治理,即将投票决定是否分配为运营费用:DeFi聚合收益协议yearn.finance发推称,50%的系统奖励已分配给治理。是否将系统奖励分配为运营费用有待表决。投票将在本周进行。[2020/8/10]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

BUIDLNate Irish

Hiya 资深产品经理。EOS Nation将于下周移除节点配置黑名单:EOS Nation节点在EOS BPs社群中发布了一份关于“黑名单维护”的声明,鉴于近期Steem事件以及一番深思熟虑,该节点决定在下周移除其节点配置的黑名单.

BUIDL李绍刚

Decore 与 Strike Protocol 联合创始人。数据:今日上午已有超3.55亿枚BUSD从Paxos Treasury转到币安:1月19日消息,Whale Alert监测数据显示,今天上午已有4笔88888888枚BUS.

BUIDLGuy-Louis Grau

Status.im 产品经理。Rektguy联创:Red Lite District #44已在苏富比上架拍卖:金色财经报道,NFT项目Rektguy联合创始人OSF在社交媒体宣布“Red Lite District #44” NFT.

BUIDLJulian Reyes

Infura 高级后端工程师。Julian Reyes 是 Infura 高级后端工程师,由 ConsenSys 支持。此前,他曾在 EXADS、Guidewire Software、Altion、BSB 等从事开发工作.

[0:15ms0-1:717ms