比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

16 萬美元資產被盜竟是烏龍事件?成都鏈安簡析 Yeld.finance 「閃電貸攻擊」事件_ELD

Author:

Time:1900/1/1 0:00:00

DeFi項目Yeld.finance稱該項目的DAI池遭受到閃電貸攻擊,但成都鏈安分析稱,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。

事件概覽

北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b

成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。

Crypto.com NFT、DeFi Swap 和 Tax 將于北京時間 3 月 16 日進行系統維護:金色財經報道,加密交易所 Crypto.com 發文稱,將于北京時間 3 月 16 日 08:00 開始對 Crypto.com NFT、DeFi Swap 和 Tax 進行系統維護,持續時間約為 2 小時。系統維護期間,Crypto.com App 內 Crypto.com NFT 將暫不可用,其他功能仍然可用、Crypto.com NFT 與 Crypto.com Tax 上的所有功能和服務將暫時不可用,用戶也無法登錄。[2023/3/10 12:54:32]

事件分析**

Sui聯合創始人:Sui已支持Groth16 zkSNARK算法:11月19日消息,Sui Network聯合創始人Kostas Kryptos發推稱,Sui歡迎零知識證明,用戶現已可以其交易事務中附加Groth16 ZKP證明,由于我們的后端結合了Arkworks和BLST,因此這樣做可以提升2倍的驗證性能速度。”與此同時,Kostas分享的Sui Github界面顯示關于Groth16的模塊已于今日提交。

注:Groth16是zkSNARK的典型算法,系Groth在2016年發表的一篇論文中提出,目前該算法在ZCash,Filecoin,Coda等多個項目中均有應用。[2022/11/19 13:24:11]

圖1交易信息

如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:

SUSHI突破16 USDT:歐易OKEx行情顯示,SUSHI突破16 USDT,現報16.002 USDT,24H跌幅1.73%。[2021/4/14 20:17:23]

圖2deposit函數源代碼

很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。

第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。

今日恐慌與貪婪指數為16 恐慌程度仍為極度恐慌:金色財經報道,Alternative數據顯示,今日恐慌與貪婪指數為16(昨日為17),恐慌程度上升,等級仍為極度恐慌。 注:恐慌指數閾值為0-100,包含指標:波動性(25%)+市場交易量(25%)+社交媒體熱度(15%)+市場調查(15%)+比特幣在整個市場中的比例(10%)+谷歌熱詞分析(10%)。[2020/3/10]

然后進入第555行的rebalance函數,分析該函數的邏輯。

圖3rebalance函數源碼

圖4recommend函數

第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:

圖5recommend查詢結果

其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。

圖6_withdrawAll函數源代碼

第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。

最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。

整個交易就此結束,可以看到,這次所謂的「閃電貸攻擊」只是「虛驚一場」。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的「閃電貸攻擊」,可謂是鬧了場「烏龍事件」。

值得注意的是,dYdX在該事件中充當了一個「良心商家」的角色,并不是以往閃電貸攻擊中的幫兇。

安全建議

盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。

同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。

Tags:DAICOMELDYELYFDAI價格comp幣背景Yield Farming XLYEL幣

幣安app官網下載
印度加密貨幣困境:央行行長擔心影響國家金融穩定 新規或全面禁止_比特幣

2月24日,印度央行行長沙克蒂坎塔·達斯表示,擔心加密貨幣可能會影響印度的金融穩定。這種觀點可能會影響即將出臺的監管政策——《加密貨幣和官方數字貨幣監管法案》,讓投資者面臨著要不要清算的問題.

1900/1/1 0:00:00
對話佳士得藝術專家:什么是 NFT 藝術品拍賣?_Beep

對話佳士得藝術專家:什么是NFT藝術品拍賣? 陀螺財經 剛剛 10 Beeple,“EVERYDAYS:THEFIRST5000DAYS”,這是佳士得拍賣行發行的第一批純數字藝術作品.

1900/1/1 0:00:00
2020中國區塊鏈專利數據解讀:新增區塊鏈專利近8200件,1257家公司參與申請_數字貨幣

報告摘要: 1、截至2020年12月,全球區塊鏈專利累計達到5.14萬件,其中我國累計申請了3.01萬件,占全球總數的58%.

1900/1/1 0:00:00
金色DeFi日報 | Matrixport已集成AAVE協議_EFI

金色DeFi日報|Matrixport已集成AAVE協議 金色財經子木 剛剛 24 DeFi數據 1.DeFi總市值:653.

1900/1/1 0:00:00
行情分析:比特幣回調完成后,目標將是70000美元_GMT

BTC最近出現了拋售。在這次拋售過程中,BTC和大多數山寨幣的價值都出現了大幅下跌。這也是意料之中的。一眾山寨幣在前一周漲幅甚至超過100%,這是明顯虛高的.

1900/1/1 0:00:00
王川:以太坊的費用,為什么這么高?_ROL

本文是王川:去中心化的流動性黑洞,和區塊鏈第一法則和王川:比特幣支付費用為什么這么高?的續篇。1/以太坊(Ethereum)是比特幣之后,市值第二大的公鏈.

1900/1/1 0:00:00
ads