Value攻擊解析：為套740萬美元 黑客貸了1.5億美元_DAI

北京時間11月14日23：36，黑客對ValueDeFi協議進行閃電貸攻擊，損失將近740?萬美金的DAI。黑客在偷走代幣后還留言“doyoureallyknowflashloan?”來挑釁開發團隊。?

1個小時后，ValueDeFi官方發推確認：MultiStablesvault遭到了一次復雜的攻擊，凈損失達600萬美元。目前正在進行事后分析，并正在探索如何減輕對用戶的影響。

CoinGecko行情顯示，其VALUE代幣自零時開始下跌，最低觸及1.87美元，最高跌幅達31.75%，此后稍有回升，現報價2美元。ValueDeFi當前鎖倉總額3280萬美元。

Valkyrie首席投資官：專注于更多可再生能源的礦業公司最終將獲勝:金色財經報道，Valkyrie Investments首席投資官 Steven McClurg?參加了 \"The Exchange”，討論在納斯達克推出有史以來第一個比特幣礦工ETF。McClurg表示，我們相信，專注于更多可再生能源的公司最終將獲勝，因為與傳統能源相比，水電、太陽能和天然氣等替代能源將能夠為礦工提供更好的成本節約煤炭等能源，而未來煤炭能源的成本將大大增加。我們發現，這些礦業公司（主要使用可再生能源）已經比其他舉措（例如碳中和承諾）采取了額外的措施，而且他們往往保持較低的開銷，因為可再生能源的成本通常低于其他來源。

Valkyrie 比特幣礦工 ETF周二開始在納斯達克交易，股票代碼為“WGMI”，股價在早盤交易中上漲 0.8%。交易所交易基金 (ETF) 的費用率為 0.75%。該基金的任務是將其 80% 的凈資產投資于至少 50% 的利潤來自比特幣開采并主要使用可再生能源的礦工。Valkyrie 指出，該基金投資組合中的礦工使用約 77% 的可再生能源，而整個美國的平均可再生能源使用率為 31%。該基金的前五名持股（均在 8% 至 10% 范圍內分配）是 Argo Blockchain (ARBK)、Bitfarms (BITF)、Cleanspark (CLSK)、Hive Blockchain (HIVE) 和 Stronghold Digital Mining (SDIG) 。（Coindesk）[2022/2/9 9:39:35]

coingecko.com

Avalanche推出AvalancheGo v1.5.2版本修復關鍵安全漏洞，節點運營商應盡快更新:官方消息，Avalanche推出AvalancheGo v1.5.2版本，敦促所有節點運營商盡快更新。此版本修復了以太坊客戶端Geth v.1.10.8中已修補的關鍵安全漏洞。

此前消息，以太坊客戶端Geth發布1.10.8版本以修復倫敦升級之前的漏洞。[2021/8/25 22:35:39]

本次事件與此前的Harvest攻擊事件邏輯相似，PeckShield派盾對該事件進行分析認為，本次攻擊得逞的原因在于，項目代碼在使用基于AMM算法的價格預言機上存在漏洞。

DeFi項目YFValue針對包括小玩家在內的所有用戶啟動流動性挖礦計劃:DeFi項目YFValue協議于本周啟動流動性挖礦計劃，致力于通過通貨膨脹率可鏈上投票、自動推薦（Referral ）等獨特功能為包括小玩家在內的所有用戶提供流動性挖礦收益，用戶可直接質押穩定幣和其他加密貨幣。

YFV是該協議的治理代幣，YFV.Finance是DeFi 收益聚合器。YFV總供應量為2100萬枚，分配在11個池子中，具體分發時間會根據YFV農耕者（Farmer）的投票進行更改。另外，YFValue還引入了兩個基于彈性供應模型的新代幣，分別為vUSD和vETH。vUSD和vETH將根據市場具體情況擴大或減少供應量，旨在將價格固定為1 vUSD 等于1美元，1vETH等于1 ETH。[2020/8/23]

我們基于發起攻擊的交易來進行分析。攻擊者的惡意攻擊合約為。

步驟1：通過Aave閃電貸獲得8萬個ETH。

步驟2：在UniswapV2閃電貸獲得1.16億枚DAI。接下來，0x675B惡意合約會執行如下內容。

步驟3:將步驟1獲得的8萬枚ETH在UniswapV2上換成3,100萬枚USDT。

步驟4:在VaultDeFi上存入2,500萬枚DAI并獲得池子鑄造的2,490萬pooltokens。此時VaultDeFi協議會鑄造出2,495.6萬枚新3crv代幣。

步驟5：在Curve上將9,000萬枚DAI換成9,028萬枚USDC。這一步會影響Curve上3pool池子的平衡，進而抬升USDC的價格。

步驟6：在Curve上將3,100萬枚USDT換成1,733萬枚USDC，此時可以看到USDC兌換價格已經有很大的偏差，完成這一步后，會進一步提升Curve上3pool池子中USDC的價格。

步驟7：在ValueDeFi上銷毀之前鑄造的2,490萬枚pooltokens，這部分pooltokens又贖回了3,308萬枚3crv。

接下來，黑客在Curve再度反向操作，大約賺得86萬DAI：

步驟8：將1,733萬枚USDC在Curve上換回3,094萬枚USDT。

步驟9：將9,028萬枚USDC在Curve上換回9,092萬枚DAI。

步驟10：銷毀3pool中的3,308萬枚3crv來贖回3,311萬枚DAI，相比于存款時的代幣數量，整整多了815.4萬DAI。

最后是剩余步驟：返還Aave的閃電貸和UniswapV2上步驟2中的代幣。

這次攻擊之后，黑客返回給ValueDeFi開發者200萬枚DAI，自己則保留了540萬枚DAI。

根據PeckShield監測，這次攻擊中被盜取的資金現在被存放在錢包?0xa773603b139Ae1c52D05b35796DF3Ee76D8a9A2F中。Odaily星球日報將繼續跟進事態發展。

Tags：VALUSDDAIDEFVAL幣USDMDAILYS價格DeFi Bids

Fil