"2月5日,YearnFinancev1版本的yDAI机池漏洞被利用,损失1100万美元,该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"
2月5日凌晨5点左右,yearn官方在推特上表示,
“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”
Yearn:所有受到 Euler 攻击影响的被盗资金均已收回并归还给用户:金色财经报道,收益聚合协议 Yearn 发推称,所有受到 3 月 Euler 黑客攻击影响的资金均已收回并归还给用户,受影响的金库是 yvUSDC 与 yvUSDT, Idle Finance v4(最佳收益)与 Angle Standard LP 存在间接暴露风险
此前报道,3 月 14 日,Yearn 发推表示,虽然没有直接暴露于 Euler 被攻击事件,但一些 Yearn 金库间接暴露于黑客攻击。其中通过使用 Idle 和 Angle 的策略,在 yvUSDT 和 yvUSDC 上的风险敞口总计 138 万美元,任何剩余的坏账将由 Yearn 金库承担,所有金库都将保持开放并全面运作。[2023/5/3 14:40:03]
Yearn核心开发者banteg随后发布信息表示,
数据:yearn.finance的yETH vault已存入超过25万枚ETH:zapper.fi数据显示,DeFi聚合收益协议yearn.finance(YFI)于昨日上线的新机池yETH vault已存入超过25万枚ETH。
9月1日消息,yearn.finance已推出新Vault产品yETH。当用户抵押以太坊资产时,yETH会在DeFi协议中自动生成最高的利息或“收益”。交易员认为该产品的需求可能很大,甚至可能给ETH带来“流动性危机”。据悉,yETH已由社区投票通过。[2020/9/3]
“YearnDAIv1机池被黑客攻击,攻击者已获得280万美元,整个机池损失了1100万美元。在我们调查期间,针对v1DAI,TUSD,USDC,USDT机池的策略存款将会被禁用。”
yearn.finance提议将智能钱包白名单纳入Curve:yearn.finance创始人Andre Cronje在Curve上提出提案,将数字钱包白名单以及升级的智能钱包检查器加入到Curve当中。如果通过,将会允许yearn.finance通过proxy参与到治理当中。[2020/8/25]
yearn.finance遭遇社区硬分叉 新项目YFII锁仓价值已超328万美元:7月28日消息,由于此前DeFi协议yearn.finance的流动性挖矿代币奖励YFI已于7月26日发放完毕。为了保证流动性不大规模从挖矿中撤出,社区治理YIP-8提出了增发提案,对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过,因此对该提案赞成的社区成员发起了硬分叉,并创建了与YFI基本相同的新项目名为YFII。根据YFII供的合约地址,截至发稿时已有价值328万美元代币锁定在新项目YFII中。[2020/7/28]
banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。
在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。
黑客攻击手法
TheBlock研究分析师IgorIgamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。
1/通过闪电贷从dYdX借来11.6万ETH
2/通过闪电贷从Aavev2借来9.9万ETH
3/使用ETH作为抵押品借入1340万USDC和1290万DAI
4/在3crvCurve池中添加1340万USDC和360万DAI
5/从3crvCurve池中提取1.65亿USDT
6/以下操作重复5次:
-将930万DAI存入yDAI机池
-将1650万USDT添加到3crv池中
-从yDAI机池中提取920万DAI
-从3crv池中提取1.65亿USDT
7/最后一次取款3900万DAI和1.34亿USDC,而不是USDT
8/偿还Compound借贷
9/偿还闪电贷
攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。
截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。