BAL:CertiK：Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

Balancer團隊將分配5萬枚BAL用于資助生態發展:AMM協議Balancer通過Batch#2決議，Balancer團隊將分配5萬枚BAL用于資助生態發展。作為新Batch的一部分，Balancer團隊將會在資助項目中增加新的元素。獎勵是團隊在任意時間想要資助的特定項目。[2020/11/19 21:18:19]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

美國右翼媒體人Mike Cernovich發起10萬美元比特幣籌款活動:4月13日，美國右翼媒體人Mike Cernovich于推特發起10萬美元的比特幣籌款活動，以期望將其紀錄片做成一個播客節目。據悉，這部紀錄片的目的是揭露美國主流媒體的謊言，涉及新聞界對美國總統唐納德·特朗普的猛烈攻擊以及其他熱點問題。（U.Today）[2020/4/13]

現場 | Certik CEO Ronghui Gu：形式驗證方法是實現計算機系統安全和隱私的可靠的方法:金色財經現場報道，NEO DevCon 2019開發者大會今日在西雅圖舉行，Certik CEO Ronghui Gu 做了以“建設可信的區塊鏈生態”主題演講。Ronghui Gu 表示，區塊鏈目前是十分脆弱的，有許多執行上的漏洞。攻擊區塊鏈的受益也是巨大的，據統計截止到2017年已經有6.3億美元的區塊鏈資產被黑客盜取。智能合約對黑客開源，一旦執行很難去修改， 我們應該去避免區塊鏈編程上的漏洞。程序的測試可以用于展示漏洞存在，但是它不能夠去顯示漏洞不存在。而形式驗證的方法是目前唯一可靠的方法去實現計算機系統的安全和隱私，形式驗證在數學上證明代碼滿足規范。[2019/2/17]

攻擊者獲利數目截圖此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：

具體步驟如下：利用閃電貸籌措攻擊所需初始資金。利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：CERNCEANCBALDream SoccertunasfinanceVlad FinanceDBALL價格

DOT