首發 | Yearn.Finance驚爆漏洞 DeFi再遭打擊 一文帶你探明事件始末_USD

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

序號

交易目的

交易獲利

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日，可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹，可信教育數字身份融合采用國產密碼、區塊鏈等核心技術，創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份，實現一體化密鑰管理，構建“可信教育身份鏈”。（中國新聞網）[2019/12/25]

1

利用漏洞獲利

3Crv:349852,USDT:11305

2

利用漏洞獲利

3Crv:316814,USDT:11833

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

3

利用漏洞獲利

3Crv:287544,USDT:11818

4

利用漏洞獲利

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

3Crv:258554,USDT:11761

5

利用漏洞獲利

3Crv:276366,USDT:11472

6

利用漏洞獲利

3Crv:249387,USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,2603Crv轉換為878,188?USDT

8

利用漏洞獲利

3Crv:226448,USDT:11242

9

利用漏洞獲利

3Crv:198877,USDT:12302

10

利用漏洞獲利

3Crv:172524,USDT:11987

11

將當前交易獲得的3Crv剩余總量的一半轉換為USDT獲利

733,5553Crv轉換為742,042USDT?

12

利用漏洞獲利

3Crv:152217,USDT:11570

13

利用漏洞獲利

3Crv:127856,USDT:11017

14

將剩余所有3Crv轉換為DAI獲利

506,814Crv轉換為513,356DAI??

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

安全建議

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

CertiK建議：

完備的安全保障=安全審計實時檢測資產保障

?

CertiK審計服務CertiK實時檢測安全預言機Skynet天網CertiKShield去中心化資產保障計劃

CertiK的一系列安全服務及工具，可覆蓋項目及用戶的資產安全需求。

對于投資者來說，在投資一個項目之前，可以對照衡量項目方的安全實力之后，再做投資考慮。

如有審計需求，歡迎搜索點擊CertiK公眾號底部對話框，留言免費獲取咨詢及報價！

Tags：USDCRVUSDTSDTNUSD價格Yearn Compounding veCRV yVaultwstUSDTwstUSDT幣

PEPE幣