吐槽君烤仔：1小時內，Yearn接連遭受11次攻擊_YEA

2021年02月05日，鏈上機槍池YearnFinance的DAI策略池遭受攻擊。

攻擊者連續發動了11次攻擊，每次攻擊的收益在十幾萬美元到三十幾萬美元不等，累計獲益約二百余萬美元，造成Yearn損失近一千萬美元。

烤仔分析了其中一筆攻擊交易的轉賬細節，來看看這期間的賬單流轉。

DRPC為以太坊Dapp推出去中心化RPC網絡:金色財經報道，以太坊基礎設施提供商 DRPC 為基于以太坊的應用程序推出了去中心化 RPC 網絡，以提高加密空間中去中心化應用程序的安全性、成本效益和可靠性。[2023/3/23 13:22:26]

在這個攻擊中，攻擊者首先從閃電貸合約dYdX和AAVE獲取了約20萬個ETH，價值三億美元。然后將大部分存入了Curve池。

Circle CEO：加密領域人員越來越不敢在美國開展活動:3月3日消息，USDC穩定幣發行商Circle的首席執行官Jeremy Allaire發推文稱：“我們一直在擴展開發者計劃、活動、黑客馬拉松等，值得注意的是，這些活動絕大多數都發生在美國以外的地區。美國開發人員和企業家越來越不敢在美國開發區塊鏈軟件應用程序。”[2023/3/3 12:40:42]

然后，攻擊者從Curve池取出大量USDT，導致Curve池中的USDT數量顯著下降，Curve池出現“價格異常”，DAI和USDC變得廉價。

Celsius地址向Aave協議償還3000萬枚USDC:7 月 11 日消息，據歐科云鏈鏈上天眼監測顯示，北京時間19:09:48被OKLink ETH瀏覽器標記為 Celsius Network 的錢包地址（0x8ace開頭）向 Aave 協議償還3,000萬枚USDC。[2022/7/11 2:05:20]

此時，攻擊者讓Yearn向Curve充入大量DAI.

之后，攻擊者將大量USDT放回Curve池，價格恢復正常。此時，攻擊者再讓Yearn贖回DAI。

由于Yearn在DAI的最低點充入了大量的DAI，蒙受了損失。根據Yearn的內部機制，這些損失由所有人均攤。而放回USDT的攻擊者，則是這些損失的受益者。

此時，攻擊者損失了DAI，但獲得了3Crv，而且，有一部分損失是被所有Yearn用戶平分了。

重復這個過程，攻擊者獲得了大量的3Crv。

最后，攻擊者用收益的3Crv填補DAI上的損失，最后可以結余幾十萬美元到三十萬美元。

攻擊者地址參見：14ec0cd2acee4ce37260b925f74648127a889a28"_src="https://etherscan.io/address/0x14ec0cd2acee4ce37260b925f74648127a889a28">https://etherscan.io/address/0x14ec0cd2acee4ce37260b925f74648127a889a28

Tags：DAIUSDEARNYEAYFDAI價格CZUSDNon-Fungible YearnNew Year Ape

酷幣