EARN:Yearn因黑客攻击而损失1100万美元,这是如何发生的?

"2月5日,YearnFinancev1版本的yDAI机池漏洞被利用,损失1100万美元,该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5点左右,yearn官方在推特上表示,

“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”

跨链Web3移动端钱包Steakwallet宣布添加Yearn协议:3月12日消息,跨链 Web3 移动端钱包 Steakwallet 宣布添加 Yearn 协议,用户在以太坊和 Fantom 链上的资产通过该钱包通过简单操作即可参与 Yearn 协议。[2022/3/12 13:52:04]

Yearn核心开发者banteg随后发布信息表示,

“YearnDAIv1机池被黑客攻击,攻击者已获得280万美元,整个机池损失了1100万美元。在我们调查期间,针对v1DAI,TUSD,USDC,USDT机池的策略存款将会被禁用。”

Yearn正引入Coordinape平台以分散业务 并已上线v2 YFI yVault:3月15日,yearn.finance (YFI)官方发布项目周报。

根据周报,yearn.finance正在引入Coordinape平台。该平台致力于可扩展且无权限,将用于分散Yearn的业务并帮助更有效地补偿贡献者,将以去中心化的方式分配社区赠款。

Coordinape处于Alpha阶段。

除了此前已公布的1INCH yVault和LINK yVault,Yearn v2还已上线YFI yVault。

官方已和Pickle Finance合作,在yveCRV-ETH中引入了一键快捷功能,可帮助用户直接存入CRV或ETH,系统将自动将它们存入Pickle Finance的Farm中。[2021/3/15 18:44:50]

Yearn核心开发者:YFI铸币提案几乎准备就绪:1月20日,Yearn.finance(YFI)核心开发者banteg发推称,铸币提案几乎准备就绪,在几天之内看到它从一个有争议的想法变成一个明确的和充实的计划,这是惊人的。banteg此前曾贴出Yearn v2白皮书截图,表示YFI供应量或将增至3.3333万枚。此外,Yearn治理论坛讨论铸造和分配1000枚YFI给核心开发者和贡献者。[2021/1/20 16:35:01]

banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。

yearn.finance:治理每周可调整curve.fi池的奖励,优先级和权重经讨论决定:yearn.finance官方发推称,dao.curve.fi/gaugeweight允许治理每周调整curve.fi池的奖励,可讨论哪些池应该优先和给予的具体权重。一旦决定,这些调整将保持默认状态,直到另一项提案做出新的调整。[2020/8/27]

在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。

黑客攻击手法

TheBlock研究分析师IgorIgamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。

1/通过闪电贷从dYdX借来11.6万ETH

2/通过闪电贷从Aavev2借来9.9万ETH

3/使用ETH作为抵押品借入1340万USDC和1290万DAI

4/在3crvCurve池中添加1340万USDC和360万DAI

5/从3crvCurve池中提取1.65亿USDT

6/以下操作重复5次:

-将930万DAI存入yDAI机池

-将1650万USDT添加到3crv池中

-从yDAI机池中提取920万DAI

-从3crv池中提取1.65亿USDT

7/最后一次取款3900万DAI和1.34亿USDC,而不是USDT

8/偿还Compound借贷

9/偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-1:297ms