ANC:Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

Yearn社區發起推出LSD Token yETH的提案投票:4月21日消息，據 Snapshot 頁面顯示，收益聚合協議 Yearn 社區發起YIP-72：推出 yETH的投票，該提案旨在批準 yETH 的設計規范并認可其部署、指定引導和實施過程、指定參數和初始配置、在正常操作期間指定功能。該提案將于 4 月 26 日 21:20 截止。

Yearn ETH（yETH）是在用戶存入一籃子各種 ETH 流動性質押 Token（LSD）時生成的。yETH 可以回收存入的價值，并在質押時通過 LSD 的多樣化獲得以太坊 PoS 質押獎勵，并獲得更混合的風險 / 回報。yETH 將應對分散和對沖抵押的 ETH 頭寸以減少協議失敗的影響、市場定價的低效率導致針對協議的基礎支持 ETH 價值的交易機會、標準流動性池中的抵押 ETH 并不理想、新的 LSD 與擁有大量市場份額的協議競爭等挑戰。[2023/4/21 14:18:53]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

Yearn正引入Coordinape平臺以分散業務 并已上線v2 YFI yVault:3月15日，yearn.finance （YFI）官方發布項目周報。

根據周報，yearn.finance正在引入Coordinape平臺。該平臺致力于可擴展且無權限，將用于分散Yearn的業務并幫助更有效地補償貢獻者，將以去中心化的方式分配社區贈款。

Coordinape處于Alpha階段。

除了此前已公布的1INCH yVault和LINK yVault，Yearn v2還已上線YFI yVault。

官方已和Pickle Finance合作，在yveCRV-ETH中引入了一鍵快捷功能，可幫助用戶直接存入CRV或ETH，系統將自動將它們存入Pickle Finance的Farm中。[2021/3/15 18:44:50]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

Yearn.Finance社區發起提案計劃開啟YFI/BNT池流動性挖礦:11月20日，Yearn.Finance官方發文公布項目進展。內容顯示，官方已發布Yearn Vaults合約v0.2.0版本；與此同時，社區論壇已發起兩個提案開啟民意調查。提案具體為，Bancor的YFI/BNT池具有永久損失保護功能，用戶可提供單向或雙向流動性，但資金池太小。于是提案提議：1.更改YFI/BNT池大小限制；2.將YFI/BNT交易對投票設為大市值組合，并為其開啟流動性挖礦獎勵。此外，核心開發者稱正在構建第三個基于Maker的保管庫，以YFI為基礎資產，與現有yWETH和yWBTC保管庫使用方式類似，至此提議在YFIUSD預言機上將Yearn Finance列入白名單。[2020/11/20 21:26:10]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：YEAEARNETHANCYearn LandWalk To Earnreth幣新聞SIL Finance Token V2

SHIB最新價格