CUR:全方位分析DeFi项目Yearn Finance闪电贷攻击事件_okex

一、事件概览

北京时间2021年2月5日,舆情监测到,DeFi知名项目YearnFinance发生闪电贷攻击事件。

简言之,本次攻击事件的具体手法为攻击者利用闪电贷借取巨额资金,而后进行循环套利。根据成都链安安全团队的响应和分析,本次攻击事件的合约为yValut+CurvePool。

二、事件分析

欧易OKEx DeFi播报:DeFi总市值498亿美元,欧易OKEx平台MIR领涨:据欧易OKEx统计,DeFi项目当前总市值为498亿美元,总锁仓量为790.8亿美元;

行情方面,今日DeFi代币普涨;欧易OKEx平台DeFi币种涨幅最高前三位分别是MIR、MASK、KINE;

截至19:00,OKEx平台热门DeFi币种如下[2021/6/17 23:45:17]

1.攻击者在yVault合约中存入DAI,并调用earn触发yValut向流动性池使用DAI添加流动性,如下图所示:

欧易OKEx上线PlatON:5月12日,欧易OKEx官方公告宣布上线PlatON(LAT),现已开放LAT充值,LAT/USDT市场将于今日11:45开放交易,并于5月13日18:00开放提现并上线LAT锁仓挖矿服务。

公开资料显示,PlatON 由 LatticeX 基金会发起和推动,基于区块链的基本属性,以隐私计算网络为支撑,提供以“计算互操作”为核心特点的下一代互联网基础协议。[2021/5/12 21:52:09]

欧易OKEx上线Stacks 将于今日18:00开放交易:3月4日,欧易OKEx官方公告宣布上线Stacks (STX),现已开放充值,STX /USDT、STX/BTC市场将于今日18:00开放交易,并于3月5日18:00开放STX提现。

据悉,欧易OKEx联合Stacks举办了“充值、挂单挖矿,瓜分100%交易手续费及20,000 USDT奖池”活动。在3月4日15:00-3月11日15:00活动期间,新老用户参与STX充值挖矿可瓜分2万USDT大奖,此外参与STX/USDT挂单挖矿就有机会瓜分100%手续费奖池。

公开资料显示,Stacks试图为一种新型的去中心化互联网赋能,这种互联网可以使用户更好地控制其数据,它具有诸如“内置隐私”之类的属性,其中默认情况下对Stacks应用程序中的数据(例如照片,消息,健康记录)进行加密。[2021/3/4 18:14:41]

上图红框显示,在进行铸币时,需要读取合约中的DAI余量,但因为策略合约中的DAI已经抵押至curve合约进行盈利,所以要计算DAI代币的量,只能通过价值换算,计算出所持有的Curve代币能够兑换的DAI的量。

声音 | 嘉兴南湖区:加快人才引进 推进区块链技术研究院的建设和全方位合作:据嘉兴日报3月12日消息,目前,嘉兴市南湖区委人才办正在积极开展人才培育引进计划。今年,南湖区表示将加快“高精尖缺”人才引进,推进图灵奖、诺贝尔奖获得者等国际顶级人才领衔的区块链技术研究院、医学实验室的建设和全方位合作,集聚一批全球顶尖研发团队和世界一流创新集群。[2019/3/12]

2.攻击者利用借来的资金向流动性池使用USDT添加流动性,获得Curve代币,如下图所示:

这里值得注意的是,攻击者向池中注入的是单一的USDT,因为池子的特性,我们知道,当一种代币的含量上升,其相对价格也就下降。

3.攻击者取出yValut合约中存入的DAI,如下图所示:

根据#2可知,此时的池子中因为USDT的含量增加,所以DAI的相对价格是上升的,这也就导致攻击者所持有的Curve代币兑换出的DAI相对下降,池子中将会余留少量DAI。

4.攻击者指定与添加流动性时相等的USDT数量,进行流动性移除,注意这里因为#3时将一部分DAI取走,所以USDT的相对#2时价格下降,所以这里将余下一部分Curve代币.

?

不断进行上述循环,这使得攻击者消耗DAI进而获取Curve代币。

经过多次循环之后,攻击者套取了大量的Curve代币,而将DAI代币打入了Curve合约中。在整个攻击流程结束时,攻击者使用Curve代币,兑换出DAI/USDC。

这次兑换,因为不是USDT的兑换,即使此时的DAI相对攻击前含量较高,也会按照同等比例进行兑换,也就是攻击者打入Curve池子中多出的DAI代币,也会分发给攻击者。

这里,我们再来看攻击者在进行攻击时的第一步操作,如下图所示:

攻击者利用闪电贷向池子中添加了巨量的流动性,这就导致这些多出的DAI,最终将会大部分分给攻击者。

而除去这一部分损失,攻击者还获得了更多的Curve代币,从而获利。

三、安全建议

针对本次事件,成都链安安全团队认为,很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查,进而导致闪电贷攻击事件的发生。

在此,成都链安需要提醒区块链各生态项目方,切不可因项目上线完成之后就掉以轻心,做好日常的安全排查和安全加固等工作,寻求第三方安全公司的力量,建立一整套的安全防护机制,防范于未然。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

酷币REEX:金色观察 | Utreexo进展_CPU

Utreexo进展 概要 本文会介绍Utreexo的优点,以及这些优点的实现程度,阐述最新Utreexo应用中取得的重大进展,但是要让这项科技大众化,还需要一个漫长的过程.

[0:15ms0-7:13ms