首發 | Yearn.Finance驚爆漏洞 DeFi再遭打擊 一文帶你探明事件始末

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等於3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的 “流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

黑客通過閃電貸獲得攻擊啓動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

序號

交易目的

交易獲利

1

利用漏洞獲利

3Crv:349852, USDT:11305

2

利用漏洞獲利

3Crv:316814, USDT:11833

3

利用漏洞獲利

3Crv:287544, USDT:11818

4

利用漏洞獲利

3Crv:258554, USDT:11761

5

利用漏洞獲利

3Crv:276366, USDT:11472

6

利用漏洞獲利

3Crv:249387, USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,260 3Crv 轉換為 878,188 USDT

8

利用漏洞獲利

3Crv:226448, USDT:11242

9

利用漏洞獲利

3Crv:198877, USDT:12302

10

利用漏洞獲利

3Crv:172524, USDT:11987

11

將當前交易獲得的3Crv剩余總量的一半轉換為USDT獲利

733,555 3Crv 轉換為 742,042 USDT 

12

利用漏洞獲利

3Crv:152217, USDT:11570

13

利用漏洞獲利

3Crv:127856, USDT:11017

14

將剩余所有3Crv轉換為DAI獲利

506,814 Crv 轉換為 513,356 DAI  

除开3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

• 利用閃電貸籌措攻擊所需初始資金。

• 利用 Yearn.Finance 合約中漏洞，反復將 DAI 與 USDT 從 3crv 中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨後的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

• 完成5次重復的DAI 與 USDT 從 3crv 中存取操作後，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在後續分析中進行詳解。

安全建議

加密世界的交互往往都伴隨着一定的風險，而投資於安全的項目會收到更加長遠的回報。

而高收益必定伴隨着高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

CertiK建議：

完備的安全保障=安全審計+實時檢測+資產保障

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。