千萬美元損失背后的閃電貸攻擊——yearn finance 被黑簡析_SDT

2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，以下是慢霧的簡要分析：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第1步借出的ETH在Compound中借出DAI和USDC

3.攻擊者將第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CurveDAI/USDC/USDT的大部分流動性

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/(USDT&USDC;)貶值

G-Rocket發起的Web3Hub推岀總額一千萬美元的Web3.0全球加速計劃:4月12日消息，由G-Rocket高諾國際加速器發起的Web3Hub推岀了立足香港的Web3.0全球加速計劃，總額為1000萬美元。其中，首期計劃將聯合MultiChain投入一百萬美元，以響應香港發展Web3.0產業的決心。

整個全球加速計劃旨在招募具備技術含量的跨鏈應用項目，Web3Hub及MultiChain團隊將通過財政激勵、技術賦能及落地加速等方式，協助具有競爭力的項目迅速發展。[2023/4/12 13:58:00]

5.攻擊者第3步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣

路透社：高盛擬斥資數千萬美元收購或投資加密公司:12月6日消息，在加密交易所FTX崩潰打擊了加密貨幣的估值并降低了投資者的興趣之后，高盛計劃斥資數千萬美元收購或投資加密公司。

高盛數字資產主管Mathew McDermott表示，FTX的崩潰加劇了對更值得信賴、受監管的加密貨幣參與者的需求，大銀行看到了接手業務的機會。他補充說，高盛正在對許多不同的加密公司進行盡職調查，但沒有透露細節。

McDermott在上個月接受采訪時表示，我們確實看到了一些非常有趣的機會，定價更加合理。McDermott稱：“就情緒而言，這肯定會讓市場退縮，這是毫無疑問的。FTX是生態系統許多部分的典型代表。但重申一下，基礎技術仍在繼續發揮作用。”（路透社）[2022/12/6 21:25:33]

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復

LD Capital宣布成立超千萬美金NFT基金:4月9日消息，LD Capital宣布成立超千萬美金NFT基金，該基金將專注投資和支持優質NFT項目。LD在過去1年, 已投資超過20個優質NFT項目, 如Flow，Efinity，Illuvium，Seascape，Terra Virtua，Alienworlds，Showcase，Ethermon，LOC Game，Marble Cards，StarAtlas等。

LD Capital是最具影響力的區塊鏈投資機構之一, 多年來積極投資支持區塊鏈項目數百個, NFT基金將充分發揮自身品牌和NFT專業優勢，依靠強大的投后服務能力幫助NFT項目成長。[2021/4/9 20:03:23]

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例提現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

波卡隱私協議 Phala Network 獲千萬美元估值戰略投資:9月1日消息，波卡生態隱私基礎設施Phala Network 宣布已完成估值上千萬美元的戰略融資。投資方包括 Candaq Group、IOSG Ventures、SNZ、水滴資本、幣世界、瑞新資本、無極鏈、株式會社Incuba Alpha、Exoplanet Capital和Blue Mountain Labs。Phala Network從2019年初開始在波卡生態建設，作為波卡上的隱私計算平行鏈，Phala基于類pow的激勵機制對具備TEE功能的CPU進行大規模分布式部署，進而解決區塊鏈上面的隱私問題，從而服務于波卡上的Defi、數據服務等應用。基于Phala開發的落地場景：Libra橋、Web3 Analytics和去中心化暗池共獲得波卡三次資助。[2020/9/1]

8.由于第3步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。

參考攻擊交易：

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

往期回顧

如何通過恒定乘積黑掉SushiSwap？簡析SushiSwap第二次被攻擊始末

慢霧科技三周年啦！

慢霧助力火幣生態鏈、OKExChain，共同維護生態安全

AToken錢包通過慢霧安全審計

BiKi入駐慢霧區，發布「安全漏洞與威脅情報賞金計劃」

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

__

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9648305.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

盤點零知識證明代表性項目：如何影響和塑造區塊鏈生態系統？

Tags：DAIUSDSDCSDTdai幣是什么幣usdt幣提現到銀行卡會凍結嗎usdc幣與usdt幣哪個好usdt幣好賣嗎

ICP