CertiK：還原Yearn.Finance被攻擊始末_FED

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

金融和數據技術開發商Fedi完成1700萬美元A輪融資:金色財經報道，金融和數據技術開發商Fedi完成1700 萬美元A輪融資，本輪融資由 Ego Death Capital 領投，Block、Kingsway、Trammell Venture Partners 和 Timechain 等跟投，這筆資金使 Fedi 的總資金達到 2121 萬美元。

Fedi 利用比特幣托管開源協議 Fedimints，使開發人員可以輕松構建其他應用程序和模塊，Fedi 的社區或“第二方”托管模型為第三方加密貨幣交易所、云備份服務和加密消息應用程序提供了一種安全的替代方案，該公司將于本月晚些時候針對構建者社區預發布其聯合操作系統的 alpha 版本。[2023/5/4 14:41:10]

攻擊者獲利數目截圖

SBF評“美國CFTC加密監管草案”：核心目標是規范中心化加密場所:10月23日消息，針對美國CFTC加密監管草案已被上傳至GitHub，SBF表示，該法案的核心目標是規范中心化加密場所。FTX這樣的中心化實體可能會被要求有披露、某種可能的“客戶適用性測試”等，以公平的方式完成這項工作非常重要。

DeFi主要有關的是：受監管的中心化實體如何與DeFi交互？特別是，它不聲明DeFi開發者、智能合約和驗證者必須做什么。對于制裁，SBF表示，驗證者和智能合約需要是免費的、無需許可的和去中心化的，我們應該有工具來使篩選更容易和更快。SBF認為監管會變得更好、更清晰，并為加密貨幣卷土重來創造途徑。此外，SBF表示，但是我們必須再次看到最終的版本；他只支持正確的版本。[2022/10/23 16:36:16]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

ZK Rollup 訂單簿 DEX ZigZag 已在 GitHub 上提交代幣源代碼:6月14日消息，以太坊二層 ZK Rollup 訂單簿 DEX ZigZag Exchange 已在 GitHub 上提交代幣源代碼。[2022/6/14 4:24:25]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。利用Yearn.Finance合約中漏洞，反復將DAI與?USDT?從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：EFIDEFIDEFFEDDOGEFIOrigen DEFIChargeDeFi ChargeSAFEDOGE

MANA