(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。闪电贷攻击表示不背这个锅。二、事件分析
△图1交易信息如图1所示,该笔交易是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移,分别用T1到T6表示。那么,这些代币转移究竟是什么操作导致的呢?下面通过代码进行分析:
PeckShield:稳定币USDN下降至0.92美元:金色财经报道,据PeckShield数据监测,稳定币Neutrino USD(USDN)下降至0.92美元。[2022/9/14 13:28:22]
△图2deposit函数源代码很明显,第538行代码,产生导致了序号为T1的代币转移,将token转移到yDAI合约。这是一笔普通的代币转账,表示用户存入了9,377DAI到yDAI合约。第541-553行代码,是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表示yDAI合约向用户铸了9,306yDAI。然后进入第555行的rebalance函数,分析该函数的逻辑。
PeckShield:已监测到0xb6B开头的地址在 Nomad 被盗事件中获利近700万美元:8月22日消息,PeckShield在推特上表示,已监测到 0xb6B 开头的地址在 Nomad 被盗事件中获利近 700 万美元。其中盗取的 300.1 万枚 USDT 通过 Uniswap 交易为以太坊后存入 0xb6B 开头的地址,另外盗取的近 145.5 万枚 USDC、200 枚以太坊以及 100 枚 WBTC 通过四个合约交易为以太坊,部分通过 0xb6B 开头的地址或直接存入 Tornado Cash,部分存入 Poolin 矿池。此外,该地址还向 0xa5EF 开头地址提供资金,后者也盗取了约 200 枚以太坊和 3 枚 WBTC,并在将·WBTC 交易为以太坊后全部转入 Tornado Cash。[2022/8/22 12:41:43]
BitPay宣布支持ApeCoin和Euro Coin:8月7日消息,加密货币支付处理公司BitPay宣布支持ApeCoin(APE)和Euro Coin(EUROC)。
此前消息,奢侈品品牌Gucci宣布,其美国部分门店现在通过BitPay接受ApeCoin作为支付方式。(U.Today)[2022/8/7 12:08:13]
△图3rebalance函数源码
Doodles 2可穿戴设备NFT Genesis Box拍卖上线:6月30日消息,Doodles 2 可穿戴设备 NFT Genesis Box拍卖上线,The Genesis Box总供应量为 2.4 万个,每个一次性使用的盲盒都包含稀有的服装和配饰,拍卖将在北京时间 7 月 1 日 7 点结束。
此次拍卖将采用Bucket Auction,竞标者可以在初始出价中选择出价多少 ETH,并可选择提高出价。在拍卖结束时,将确定清算价格,超过清算价格的成功出价将获得 NFT 以及从计算个人用户出价/清算价格中获得的任何 ETH 余额的退款。低于清算价格的未成功出价将获得全额退款。[2022/6/30 1:41:21]
△图4recommend函数第732行代码会计算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询结果如图5所示:
△图5recommend查询结果其中dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。
△图6_withdrawAll函数源代码第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币转移,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。整个交易就此结束,可以看到,这次所谓的“闪电贷攻击”只是虚惊一场。用户只是单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的策略机制,并不是所谓的“闪电贷攻击”,可谓是闹了场乌龙事件。值得注意的是,dYdX在该事件中充当了一个“良心商家”的角色,并不是以往闪电贷攻击中的帮凶。三、安全建议尽管本次事件经成都链安安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击加以预警和防范。同时,作为致力于区块链生态安全建设的成都链安也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建覆盖全生命周期的一站式安全解决方案方为万全之策。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。