以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ECO:16萬美元資產被盜竟是烏龍事件?Yeld.finance“閃電貸攻擊”事件簡析

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?

成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。

Celsius CEO:比特幣今年或將一路上漲至16萬美元:加密借貸平臺Celsius首席執行官兼聯合創始人亞歷克斯·馬辛斯基(Alex Mashinsky)表示,比特幣今年將漲到16萬美元。(cointelegraph)[2021/6/27 0:08:48]

二、事件分析

△圖1?交易信息

如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:

Filecoin網絡目前總質押量約為8116萬枚FIL:據IPFS100報道,Filfox瀏覽器數據顯示,Filecoin網絡當前區塊高度為833403,全網有效算力為6.231EiB,總質押量約為8116萬枚FIL,活躍礦工數為2444個,每區塊獎勵為25.3670FIL,近24小時產出量為363599FIL,24小時平均挖礦收益為0.0560FIL/TiB,目前FIL流通量為132776355FIL。目前有效算力排名前三的分別為:f0127595(時空云)以118.07PiB暫居第一,f0135467(RRM-雅典娜)以106.34PiB位居第二,f0142720(RRM-雅典娜)以103.76PiB位居第三。[2021/6/10 23:27:29]

△圖2?deposit函數源代碼

ARK基金買入超16萬股灰度比特幣信托:ARK基金持倉數據顯示,5月25日,ARK基金買入了163,699股灰度比特幣信托(GBTC),并賣出了7030股Coinbase股票。[2021/5/26 22:45:31]

很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。

第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。

數據:近24小時Filecoin手續費超16萬FIL:Filfox數據顯示,最近24小時Filecoin全網手續費近16.1萬FIL,目前Filecoin基礎費率接近5Nano FIL。而最近24小時FIL總產量約為21.9萬枚,手續費約占總產量的73%。[2020/12/11 14:56:45]

然后進入第555行的rebalance函數,分析該函數的邏輯。

△圖3?rebalance函數源碼

△圖4?recommend函數

第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:

△圖5?recommend查詢結果

其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。

△圖6?_withdrawAll函數源代碼

第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。

最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。

整個交易就此結束,可以看到,這次所謂的“閃電貸攻擊”只是虛驚一場。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的“閃電貸攻擊”,可謂是鬧了場烏龍事件。

值得注意的是,dYdX在該事件中充當了一個“良心商家”的角色,并不是以往閃電貸攻擊中的幫兇。

三、安全建議

盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。

同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。

Tags:FILDAIECOCOI馬斯克談fil幣DAIQ幣filecoin幣中文名BitNewCoin

加密貨幣
加密貨幣:金色觀察丨從BTC跌破5萬美元看CEX如何應對突發事件

金色財經區塊鏈2月27日訊不斷上漲的“加密貨幣之王”比特幣近日受到重創,其價格于2月下旬再次失守5萬美元支撐位,本文撰寫時為47,571.37美元,7日跌幅達到14.5%.

1900/1/1 0:00:00
虎符將于3月1日20:05正式上線A5T( Alpha5),同步開啟多重福利活動

尊敬的虎符用戶, 虎符將于2021年03月01日20:05(UTC8)重磅上線A5T/USDT交易對。充值開啟時間3月3日20:00(UTC8),提現開啟時間將以公告形式另行通知.

1900/1/1 0:00:00
HASH:奧秘是魔術的一部分:揭秘加密藝術新星 Hashmasks 誕生之路

2021年1月27日,一個ID名稱叫「Cryptopathic」的以太坊社區成員向他的朋友、加密行業知名大V「CryptoCobain」發送了一條關于藝術品拍賣的消息,這個作品其實是一套系列.

1900/1/1 0:00:00
加密貨幣:很多玩笑開著開著就成真了 比如 狗狗幣

原標題:狗狗幣啟示:交易所如何應對加密投資范式轉型?對于加密貨幣交易所而言,如果想在這場正在發生的投資范式轉型中立于不敗之地.

1900/1/1 0:00:00
區塊鏈:xmex眾邦:2月28日行情分析,反復震蕩走弱,測試更低支撐

BTC/USDT日內技術分析關鍵阻力:46000(發文后能否強勢反彈的關鍵阻力)46800(日內能否走強的關鍵阻力),47000/100(日內再次沖高成立))47500/800(日內強阻力).

1900/1/1 0:00:00
LIT:玩幣少帥:比特幣如期月線五連陽,收線之際趨勢操作

消息面: 2月28日消息,哈佛大學經濟學教授,國際貨幣基金組織前首席經濟學家在接受CNBC采訪時表示,中央銀行將不允許比特幣和其他加密貨幣成為主流資產.

1900/1/1 0:00:00
ads