Yearn因黑客攻击而损失1100万美元,这是如何发生的?_YEA:Daily COP

"2月5日,YearnFinancev1版本的yDAI机池漏洞被利用,损失1100万美元,该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5点左右,yearn官方在推特上表示,

“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”

Blur Dao发起“让社区决策哪些NFT项目能被列入Blend”的提案:5月10日消息,SnapShot投票页面显示,Clairvoyant Labs在Blur Dao发起“添加治理权力:Blend上线批准”的提案,建议让Blur社区更多地参与决定哪些NFT项目能被列入借贷协议Blend。该提案将于5月11日开启投票,并将于5月25日结束。

Clairvoyant Labs表示:“关于Blur宣布Blend支持新NFT系列DeGod,官网公告比推特公告提前了五分钟,因此认为更多的NFT社区参与将有助于避免此类事件的发生。”提案提议所有Blend上线NFT的提案最初都发布在研究论坛上,并进行至少3天的讨论,再经过为期7天的快照投票期。提案门槛为10万枚BLUR,投票有效门槛为超过3000万枚BLUR投赞成票。

此前消息,Clairvoyant Labs昨日再次从OKX提出186万枚BLUR。[2023/5/10 14:53:29]

Yearn核心开发者banteg随后发布信息表示,

“YearnDAIv1机池被黑客攻击,攻击者已获得280万美元,整个机池损失了1100万美元。在我们调查期间,针对v1DAI,TUSD,USDC,USDT机池的策略存款将会被禁用。”

banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。

在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。

黑客攻击手法

TheBlock研究分析师IgorIgamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。

1/通过闪电贷从dYdX借来11.6万ETH

2/通过闪电贷从Aavev2借来9.9万ETH

3/使用ETH作为抵押品借入1340万USDC和1290万DAI

4/在3crvCurve池中添加1340万USDC和360万DAI

5/从3crvCurve池中提取1.65亿USDT

6/以下操作重复5次:

-将930万DAI存入yDAI机池

-将1650万USDT添加到3crv池中

-从yDAI机池中提取920万DAI

-从3crv池中提取1.65亿USDT

7/最后一次取款3900万DAI和1.34亿USDC,而不是USDT

8/偿还Compound借贷

9/偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

币赢踏空季来了?一月币圈复盘_EFI:DEFI

踏空季来了?一月币圈复盘 风火轮社区 刚刚 21 今日最佳之难道我买到了价值币: 大家好,我是佩佩,一月份的最后一天,2021年已经过去了十二分之一,不知道这个月你的收益如何呢.

[0:15ms0-7:761ms