Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_EARN

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

Yearn.finance社區發起回購和重建Yearn的提案:據官方消息，Yearn.finance社區發起“回購和重建Yearn”的提案。該提案具體內容是：1.使用YFI質押獎勵在公開市場上回購YFI，并將回購的YFI用于貢獻者獎勵和其他Yearn活動。2.撤消YFI治理金庫（yGov），使其不再起作用。3.即使在其他地方使用YFI代幣時也允許參與YFI治理，例如在SushiSwap中提供流動性。該提案目前已獲得99.89%的支持率。[2021/1/17 16:20:59]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

Yearn Partner周報：SushiSwap交易量11月增加11億美元:據官方消息，根據Yearn Partner的最新周報：

1.SushiSwap交易量在11月增加了11億美元。同期DEX總交易量在各交易所下降15.8%，受Uniswap和Curve影響最大，但SushiSwap交易量繼續上升。

2.關于將YFI增加到SushiSwap treasury中的投票通過，分配如下：60%的SUSHI，20%的USDC+DAI，10% ETH，5%的YFI，5%的BTC（tBTC-renBTC-wBTC）。

3.引入Onsen。Onsen是SushiSwap新的流動性挖礦激勵計劃，取代了Menu of the Week計劃，旨在帶來長期的積極流動性變化，并確保平臺的穩定性。

4.關于增加新的開發人員到核心團隊的提案：開發BentoBox的Clearwood已經提出了一項提案，概述了他全職開發SushiSwap的意圖。[2020/12/12 14:59:40]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

yearn.finance取消yVault提款費:yearn.finance通過YIP-51提案，取消yVault提款費，并將費用結構調整為2%的管理費和20%的利潤績效費。YIP-51提案將會對于v2 yVault產生直接影響，而目前v1 yVault尚未進行費用結構修改，仍需要支付0.5%的提款費。[2020/11/11 12:16:44]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：YEAEARNSWAPYFIYearn2.FinanceSAFEARN價格BlockSwap Networkyfin幣是騙局嗎

XRP