2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿美元,创下历史新高,本文撰写时为478.3亿美元,约等于3095亿人民币。
Yearn Finance不支持以太坊PoW分叉,旧版本的Yearn保险库许可功能存在风险:9月6日消息,Yearn Finance发布关于许可功能的安全公告,低于0.4.4版本的Yearn保险库具有许可功能,容易受到分叉网络中的重放攻击。Yearn不鼓励在其他分叉网络中的Yearn保险库中使用许可方法。
Yearn不打算在合并后支持任何以太坊工作量证明 (PoW) 分叉,并且不能保证除了官方支持的其他网络中的保险库的正确功能。如果之前在以太坊主网中使用过该功能,请使用该approve(spender, 0)功能重置permit限额,并使用一个非无限的到期期限。[2022/9/6 13:11:24]
2020年被称为“DeFi元年”,DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发,然而其安全风险居高不下。
Yearn Finance宣布已使用1900万美元回购755枚YFI:5月17日消息,Yearn Finance团队宣布已使用1900万美元的价格从市场上回购755枚YFI,旨在激励Yearn Finance协议上的DeFi贡献者,YFI回购也将用于奖励veYFI持有者。
此前Yearn Finance投票通过关于新代币经济模型的提案,一部分YFI代币将由Yearn Finance金库回购,以奖励积极参与Yearn治理的YFI持有者,同时为加强YFI代币在治理中的作用。[2022/5/17 3:22:45]
北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。
MakerDao社区计划将yearn.finance添加至BTCUSD预言机白名单:9月17日,MakerDao社区成员于MakerDao论坛上发起新提案MIP10c9-SP10,计划将yearn.finance添加至BTCUSD预言机白名单。根据该提案,MakerDao正在构建第二个基于Maker的金库,该库将以使用ETH-A同类库yWETH保管库类似的方式,来使用WBTC-A库。该库将维护一个Maker Vault,并将制造的DAI委托到yearn的DAI Vault。[2020/9/17]
黑客通过闪电贷获得攻击启动资金,利用Yearn项目代码漏洞,完成整个攻击。
攻击者获利数目截图
此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易,交易列表如下:
除开3笔转换代币交易之外,剩余11笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。
攻击大致流程图如下:
具体步骤如下:
利用闪电贷筹措攻击所需初始资金。
利用Yearn.Finance合约中漏洞,反复将DAI与USDT从3crv中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。
完成5次重复的DAI与USDT从3crv中存取操作后,偿还闪电贷。
CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续分析中进行详解。
总结
加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。
而高收益必定伴随着高风险,此次漏洞的爆发同样是DeFi领域的一个警示。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。