比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 區塊鏈 > Info

全方位分析DeFi項目Yearn Finance閃電貸攻擊事件_Curve

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。

簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。

二、事件分析

Cardano預言機Charli3與鏈上監控平臺Parsiq宣布合作,實現鏈上數據全方位互通:4月25日消息,基于Cardano的去中心化預言機Charli3與區塊鏈監控平臺Parsiq宣布合作,兩者已實現鏈上數據的全方位互通。

Charli3是一個基于Cardano的去中心化預言機解決方案,旨在將現實世界中的鏈下數據與鏈上數據達成互通。Parsiq是一個區塊鏈監控平臺,旨在為鏈上數據的安全性提供保障。[2021/4/25 20:56:21]

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

PlatON與ChainX、PolkaWorld達成全方位戰略合作:金色財經報道,全球隱私計算網絡與分布式經濟體基礎設施PlatON宣布與ChainX、PolkaWorld達成全方位戰略合作。

ChainX是基于Substrate框架開發且最早上線的項目,致力于比特幣Layer2拓展、數字資產網關及波卡2級中繼鏈的研究與應用,主網已經上線并平穩運行1年半。PolkaWorld是中國最大的polkadot社區之一,擁有完善的社區資源和較大的行業影響力。

此次PlatON與ChainX、PolkaWorld將從應用生態、節點建設、社區運營、技術合作等維度進行全方位的合作,ChainX也將作為PlatON與Polkadot生態之間的一座橋梁,助力兩大生態實現互融互通。

同時,PlatON還將與ChainX共同探討共同創辦孵化器,專注PlatON生態項目孵化,從資金、技術、社區全方位支持生態項目的建設,ChainX、PolkaWorld也針對目前社區熱議的PlatON應用生態圖譜給予專業的建議,通過應用生態圖譜,明確PlatON未來的戰略方向與實現路徑,通過孵化器,發掘為生態添磚加瓦的團隊/開發者,形成良性循環,共建繁榮穩定的PlatON生態藍圖。[2021/3/12 18:39:13]

聲音 | 火幣大學于佳寧:產業區塊鏈將在2020年全面落地,引發社會經濟全方位變革:12月28日,在區塊鏈技術應用與發展主題座談會上,火幣大學校長于佳寧表示,技術的價值要通過切實幫助產業轉型升級、提質增效體現出來,給產業帶來的價值增量才是技術的價值。產業區塊鏈將在2020年全面落地,引發社會經濟全方位變革。他表示,未來區塊鏈將成為交易中的一部分,成為一種新的信任要素,這將對價值鏈上的傳統行業帶來重大改變。于佳寧認為,區塊鏈不僅僅是一項技術,“區塊鏈+”也不僅僅是“技術+”,它更是商業模式、組織形態,甚至思維方式的全方位變革。區塊鏈思維是一種互聯網思維、金融思維和產業思維的融合。隨著5G的到來,區塊鏈與其他技術結合給產業帶來的生產率提升不是10倍,而是100倍。[2019/12/29]

上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。

迫于韓國當局的全方位壓力有3家銀行宣布不為虛擬貨幣交易所提供虛擬賬戶:韓國虛擬貨幣交易所將在30日開始恢復實名制,但是有3家銀行決定不為虛擬貨幣交易所提供新的虛擬賬戶,另外3家表示完全沒有為虛擬貨幣交易所提供虛擬賬戶的計劃。新韓銀行,NH農業銀行及IBK企業銀行表示將決定暫停提供新的虛擬賬戶。只有那些以前擁有虛擬貨幣交易賬戶的客戶可以在30日完成確認真實姓名后使用他們現有的賬戶。國民銀行在去年7月虛擬貨幣交易所中發生泄露客戶信息事件之后關閉了虛擬賬戶。KEB韓亞銀行正在考慮與全球金融公司建立自己的區塊連鎖網絡,但并未與虛擬貨幣交易所簽署協議。友利銀行因由于更換自己的計算機網絡,很難在30日之前建立真實姓名系統而決定暫時不提供虛擬賬戶。[2018/1/24]

2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。

3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。

4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣.

?

不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。

經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。

這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。

這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。

而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。

三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。

在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICURCurve區塊鏈HondaisCoinXCUR幣curve幣總量區塊鏈的未來發展前景數字化研究

區塊鏈
幣圈線上銷售有法律風險?_MEX

伴隨去年某資金盤線下開會被一鍋端以及疫情的到來,線上銷售虛擬貨幣的場景愈發常見。概括性的代幣發行融資涉嫌違法犯罪已是老生常談,颯姐團隊希望通過本文對代幣發行融資的幾種常見運營模式進行刑事法律分析.

1900/1/1 0:00:00
應謹慎看待“馬斯克效應”——市場的雙刃劍_Gemini

馬斯克對加密貨幣失去興趣可能是大多數投資者目前最不愿意看到的事情 區塊鏈研究實驗室在上月發布了一篇名為《埃隆-馬斯克的Twitter活動如何推動加密貨幣市場》的論文.

1900/1/1 0:00:00
中國車貸第一股變比特幣礦企 股票慘遭做空 Bit Digital怎么了?_DIGI

中國車貸第一股變比特幣礦企股票慘遭做空BitDigital怎么了?區塊律動BlockBeats 剛剛 15 這是一個關于「中國車貸第一股」瀕臨退市,實控人曾被「紅通」,然后嘗試自救回歸.

1900/1/1 0:00:00
DeFi新玩法丨將資產「收益權」代幣化,APWine 可以為 DeFi 樂高提供哪些價值?_APW

APWine是一個可以將用戶資產的「收益權」分離并代幣化的新型去中心化金融協議,用戶可以在無需關心底層資產的前提下,將未來某期限內的收益權提前賣掉.

1900/1/1 0:00:00
風險可控型創投平臺DAO Maker 將風險投資推向大眾_Maker

不管是在加密行業還是傳統金融領域,風險投資一直是機構或高凈值投資者的專屬,而DAOMaker致力于將風險投資帶向普通大眾。并創新性地開發了風險可控的融資模式.

1900/1/1 0:00:00
創造去中心化平行市場 合成資產的前景與風險如何?_區塊鏈

原文標題:邊界擴張|合成資產時代合成資產在傳統金融市場并不陌生,它是一種模擬其他金融產品的金融工具,比如我們常聽到的紙黃金,各種ETF產品,還有灰度的GBTC,都屬于合成資產的范疇.

1900/1/1 0:00:00
ads