以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Gate.io > Info

Curve:全方位分析DeFi項目Yearn Finance閃電貸攻擊事件

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。

簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。

二、事件分析

Cardano預言機Charli3與鏈上監控平臺Parsiq宣布合作,實現鏈上數據全方位互通:4月25日消息,基于Cardano的去中心化預言機Charli3與區塊鏈監控平臺Parsiq宣布合作,兩者已實現鏈上數據的全方位互通。

Charli3是一個基于Cardano的去中心化預言機解決方案,旨在將現實世界中的鏈下數據與鏈上數據達成互通。Parsiq是一個區塊鏈監控平臺,旨在為鏈上數據的安全性提供保障。[2021/4/25 20:56:21]

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

動態 | 四方精創報告:具備從區塊鏈底層平臺到應用解決方案的全方位研發交付能力:四方精創(300468)發布2019年半年度報告。報告中表示,該公司積極投入分布式、區塊鏈、跨境支付、云計算等新技術研發,公司目前已具備從區塊鏈底層平臺到應用解決方案的全方位研發與交付能力,具備區塊鏈+通證經濟融合創新應用的能力,并在數字貨幣、應用型通證等加密數字資產領域積累了豐富的研發與運營經驗。報告還表示,該公司結合自身經營情況,一直致力于通過創新驅動戰略,加大力度研發分布式架構、區塊鏈及支付類等新技術,通過與全球不同的區塊鏈聯盟、商業機構與高校的合作,不斷在區塊鏈領域實現創新與突破。[2019/8/30]

帥初談陳偉星朱嘯虎互懟:很正常,新技術需要全方位辯論:談及昨天陳偉星和朱嘯虎互懟一事,帥初表示,“我個人覺得爭論是很正常的事情,對于一個新的技術,需要大家全方位的討論和辯論,美國應該舉辦了很多次辯論了,對大家都是一個互相認知和互相學習的機會。”[2018/2/26]

上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。

2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

迫于韓國當局的全方位壓力有3家銀行宣布不為虛擬貨幣交易所提供虛擬賬戶:韓國虛擬貨幣交易所將在30日開始恢復實名制,但是有3家銀行決定不為虛擬貨幣交易所提供新的虛擬賬戶,另外3家表示完全沒有為虛擬貨幣交易所提供虛擬賬戶的計劃。新韓銀行,NH農業銀行及IBK企業銀行表示將決定暫停提供新的虛擬賬戶。只有那些以前擁有虛擬貨幣交易賬戶的客戶可以在30日完成確認真實姓名后使用他們現有的賬戶。國民銀行在去年7月虛擬貨幣交易所中發生泄露客戶信息事件之后關閉了虛擬賬戶。KEB韓亞銀行正在考慮與全球金融公司建立自己的區塊連鎖網絡,但并未與虛擬貨幣交易所簽署協議。友利銀行因由于更換自己的計算機網絡,很難在30日之前建立真實姓名系統而決定暫時不提供虛擬賬戶。[2018/1/24]

這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。

3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。

4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣.

?

不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。

經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。

這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。

這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。

而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。

三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。

在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICurveCUR區塊鏈DAISYSBTCCURVE幣curve幣價格區塊鏈的未來發展前景ppt

Gate.io
比特幣:視頻 | 瘋狂的虛擬貨幣 跟風炒幣 如何避免“被收割”?看專家建議

在新冠肺炎疫情下,多國央行相繼推出量化寬松政策,再加上上市公司、機構投資者的入場,在過去的一年中,虛擬貨幣迎來暴漲行情,部分幣種一年間累計漲幅超過500%.

1900/1/1 0:00:00
比特幣:金色說明書 | 火幣礦池新協議Newland借貸挖礦教程

金色說明書|火幣礦池新協議Newland借貸挖礦教程 金色說明書 1分鐘前 550 DeFi流動性挖礦火爆一時,吸引了大量投資者參與.

1900/1/1 0:00:00
以太坊:進擊的巨人 以太坊為何暴漲?

以太坊是數字前沿領域 因為它是開放的和可編程的,以太坊提供了一個充滿機會的廣闊的未知領域。在過去的幾年里,這一領域已經吸引了第一批主要的定居者.

1900/1/1 0:00:00
USD:Yearn因黑客攻擊而損失1100萬美元,這是如何發生的?

"2月5日,YearnFinancev1版本的yDAI機槍池漏洞被利用,損失1100萬美元,該名攻擊者總共獲得51.3萬DAI、170萬USDT和50.6萬3CRV,大約280萬美元.

1900/1/1 0:00:00
NFT:回到未來,重識NFT

原文首發于Medium,作者黑鳯李,點擊閱讀英文原版 1.序言 互聯網出現之后,人類社會迎來了高速發展,顛覆了信息的生產和傳遞方式,改變了文明的演?進方向.

1900/1/1 0:00:00
THE:從貨幣、可消費商品、計息資產三個角度評估以太坊價值

原標題:以太坊價值評估 自2015年發布以來,以太坊作為第二大區塊鏈網絡備受關注。即使以太坊已經發展成為一個強大的結算層,在以太坊內進行點對點價值轉移的總額已達數十億美元,但是投資者仍很難鑒定該.

1900/1/1 0:00:00
ads