比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

老牌DeFI項目被盜超1000萬美元 簡要梳理攻擊過程_USDT

Author:

Time:1900/1/1 0:00:00

2023年4月13日,據Beosin-Eagle Eye態勢感知平臺消息,Yearn Finance的yusdt合約遭受黑客閃電貸攻擊,黑客獲利超1000萬美元。

https://eagleeye.beosin.com/RiskTrxDetail/0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d關于本次事件,Beosin安全團隊在白天已將簡析以快訊的形式分享給大家,現在我們再將長文分享如下:

攻擊交易

0x8db0ef33024c47200d47d8e97b0fcfc4b51de1820dfb4e911f0e3fb0a4053138

0xee6ac7e16ec8cb0a70e6bae058597b11ec2c764601b4cb024dec28d766fe88b2

Blur CEO評亞馬遜進軍NFT市場:老牌機構或難以有效駕馭新范式:金色財經報道,Blur首席執行官Tieshun Roquerre在談到亞馬遜進軍NFT市場時表示,雖然這一舉措是“積極”的,但帶來的影響可能較為有限,他說道:“每當出現新的范式時,老牌機構很少能有效地駕馭,如果Web2公司能在Web3中做出引人注目的東西,我會感到驚訝。”不過,OpenSea 首席商務官Shiva Rajaraman對亞馬遜涉足區塊鏈和Web3持樂觀態度。

此前報道,科技巨頭亞馬遜或將于4月24日推出其NFT平臺“Amazon Digital Marketplace”,該平臺將首先向美國客戶提供服務,然后逐步推廣至其他國家。[2023/3/15 13:05:03]

攻擊者地址

0x5bac20beef31d0eccb369a33514831ed8e9cdfe0

0x16Af29b7eFbf019ef30aae9023A5140c012374A5

直播 | 方魚 > 老牌交易所滿幣如何在合約市場異軍突起:金色財經 · 直播主辦的《 幣圈 “后浪” 仙女直播周》第5期本期3:00準時開始,本期“后浪”仙女 滿幣網 CMO 將在直播間聊聊“老牌交易所滿幣如何在合約市場異軍突起”,感興趣的朋友掃碼移步收聽![2020/6/18]

攻擊合約

0x8102ae88c617deb2a5471cac90418da4ccd0579e

下面以

0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d為例進行分析。

1.攻擊者首先通過閃電貸借出了500萬Maker: Dai Stablecoin、500萬USD以及200萬Tether: USDT Stablecoin作為攻擊本金。

TOP Network CMO:老牌公鏈可能被新生公鏈代替:在本期金色沙龍上,TOP Network CMO Noah Wang指出,公鏈賽道一定會面臨洗牌,屬于老牌公鏈的輝煌已經過去,也一定會有新生的公鏈黑馬來代替它們的地位。他解釋說,以太坊、EOS這些公鏈發展了這么多年,并沒有真正實現應用的落地,而目前一些新興的公鏈無論是在技術上還是落地潛力都不輸以太坊,最關鍵的是老牌公鏈的技術框架以及生態布局基本已經定型,要轉變賽道是非常困難的,這也是為什么以太坊2.0遲遲沒能推出的原因之一。

同時,他也補充說,這并不意味著老牌公鏈一定會死掉,新生公鏈一定能成功,具體還是要看這個公鏈項目是否真的有價值,是否真的能夠落地。特別是在當前的熊市環境下,一定會淘汰一大批只有白皮書的區塊鏈項目。但是對于那些真正有技術,有落地潛力的公鏈來說反而是機會,能夠讓人們看到這些項目的真正價值。[2020/3/18]

2.攻擊者調用aave池子合約的repay函數償還其他人的欠款,這一步是為了將aave池子抵押收益降低,從而降低yearn:yUSDT Token合約中aave池子的優先級(yearn: yUSDT Token合約會根據收益情況判斷將資金投入哪個池子)。

聲音 | 真本聰創始人:老牌公鏈反彈有戲,破前高解套的可能性不大:2月12日晚間,真本聰RealSatoshi創始人索老頭在做客“抹茶周三見”AMA時表示,“公鏈項目”的變數意味著更多投資機會。此外他還表示老牌國產公鏈在這個減半牛市中,短期博反彈收益應該不錯,但破前高解套的可能性不大。據悉,真本聰RealSatoshi是一家活躍于中文加密社區的媒體,堅持以價值投資理念為核心,為讀者帶來原創內容的?輸出。“MXC抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/2/13]

3.接著攻擊者調用yearn: yUSDT Token合約的deposit函數質押了90萬Tether: USDT Stablecoin,該函數會根據質押量為調用者鑄相關數量的yUSDT,計算方式與池子中各種代幣余額有關,如下圖,此時為攻擊者鑄了82萬的yUSDT。

動態 | 美國老牌醫療保健軟件公司計劃開發數字貨幣:據Globe Newswire消息,美國老牌醫療保健軟件公司EPIC與Ronald S. Tucker宣布EPIC目前稱為發展、連接數字資產與金融市場的金融控股公司。EPIC的首要目標使發展一種數字貨幣,可用于商業金融交易,并可在數字貨幣交易所交易。[2018/10/15]

4.此時,合約中有90萬Tether: USDT Stablecoin與13萬Aave: aUSDT Token V1

5. 接下來攻擊者使用15萬USD兌換了15萬的bZx USDC iToken,并將其發送給了yearn: yUSDT Token合約,此時,合約中有118萬的資金,攻擊者擁有90/103的份額,也就是能提取103萬資金。

6.隨后,攻擊者調用yearn: yUSDT Token合約的withdraw函數提取質押資金,此時合約中僅有攻擊者之前質押的90萬Tether: USDT Stablecoin、初始的13萬Aave: aUSDT Token V1以及攻擊者轉入的15萬bZx USDC iToken,而如果一個池子中代幣不足的話,會按順序提取后續池子的代幣,此時攻擊者將90萬Tether: USDT Stablecoin以及13萬Aave: aUSDT Token V1全部提取出來,經過本次操作,合約中僅有15萬bZx USDC iToken。

7. 隨后,攻擊者調用yearn: yUSDT Token合約的rebalance函數,該函數會將當前池子的代幣提取出來,并質押到另一個收益更高的池子中,由于第2步操作,合約會將USDT和USDC提取出來,添加到收益更高的池子中,但當前合約僅有bZx USDC iToken,也只能提取出USDC,提取出來后將復投到其他USDT池子,此時復投將跳過。

8.攻擊者向池子中轉入1單位的Tether: USDT Stablecoin,并再次調用yearn: yUSDT Token合約的deposit函數質押了1萬Tether: USDT Stablecoin,由于第7步的操作,合約已經將所有池子中的資金全部取出來了,并且沒辦法添加到新池子中,導致pool這個變量計算出來就是攻擊者向其中打入的1,而作為除數的pool,將計算出一個巨大的值,向攻擊者鑄了1.25*10^15枚yUSDT。

9.最后,攻擊者利用yUSDT將其他穩定幣全部兌換出來并歸還閃電貸。

本次攻擊主要利用了yUSDT Token合約配置錯誤,在進行rebalance重新選擇池子的時候,僅使用了USDT(token為USDT)作為添加數量,而USDC無法添加池子,從而導致了攻擊者使用USDC將該合約所有USDT“消耗掉”后,池子余額變為了0,從而鑄了大量的代幣。

截止發文時,Beosin KYT反洗錢分析平臺發現被盜資金1150萬美元部分已經轉移到Tornado cash,其余還存儲在攻擊者地址。

針對本次事件,Beosin安全團隊建議:初始化配置時進行嚴格檢查。同時項目上線前建議選擇專業的安全審計公司進行全面的安全審計,規避安全風險。

原文:《被盜超1000萬美元,Yearn Finance如何被黑客“盯上”?》

來源:panewslab

PANews

媒體專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

深潮TechFlow

歐科云鏈

BTCStudy

MarsBit

Tags:USDSDTUSDTTOKCZUSD泰達幣官網回收USDT嗎泰達幣usdt有哪幾種類型TOKI

中幣下載
從“某安”被起訴事件 看看加密資產在美國有多難混_加密貨幣

颯姐前幾天為大家分析過某幣圈大佬及其旗下公司,涉嫌違反美國1933年《證券法》和1934年《證券交易法》,向美國公眾發行和售賣未受美國證監會(SEC)規管的非法證券加密資產.

1900/1/1 0:00:00
基于 2-of-2 多方安全計算的 MACI 匿名化方案_ACT

這篇文章將展示基于 2-of-2 MPC 技術的 MACI 匿名化方案的具體實現。本文核心內容主要分為三個部分:從任意算法到邏輯電路的實現;從邏輯電路到混淆電路的實現;利用不經意傳輸實現多方安全.

1900/1/1 0:00:00
美國監管來了 加密企業走了_FTC

原文:《加密逃生潮,和美國監管一起到來》 作者:章魚哥 美國商品期貨交易委員會(CFTC)于上周一在芝加哥聯邦法院起訴加密貨幣交易所幣安及其CEO兼創始人趙長鵬,該監管機構稱其故意逃避聯邦法律.

1900/1/1 0:00:00
CEX風險頻發 DEX才是加密交易的未來?_BTC

去年FTX的暴雷和最近硅谷銀破產事件對加密行業造成了沉重的打擊,但是也在推動加密貨幣交易向去中心化的方向傾斜.

1900/1/1 0:00:00
央行副行長:加密貨幣并沒有解決信用貨幣存在的問題 潛藏很多風險_數字貨幣

3月31日,中國人民銀行副行長宣昌能在博鰲亞洲論壇2023年年會“數字時代的金融基礎設施與金融服務”圓桌會上表示,要加快完善與數字經濟相適應的監管機制.

1900/1/1 0:00:00
香港財政司司長:現在是Web3發展的黃金機遇 也是最驚心動魄的時刻_區塊鏈

以下是財政司司長陳茂波今日(四月十二日)出席2023香港Web3嘉年華開幕式的致辭:肖風董事長(萬向內存塊鏈實驗室創始人、HashKey Group董事長肖風博士)、Duncan(立法會議員(科.

1900/1/1 0:00:00
ads