CertiK：還原Yearn.Finance被攻擊始末_DEF:Defiskeletons

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

以太坊網絡當前已銷毀3,519,920.28枚ETH:金色財經報道，據Ultrasound數據顯示，截止目前，以太坊網絡總共銷毀3,519,920.28枚ETH。其中，OpenSea銷毀230,050.67枚ETH，ETHtransfers銷毀296,756.85枚ETH，UniswapV2銷毀197,378.05枚。注：自以太坊倫敦升級引入EIP-1559后，以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee，而這部分的費用將直接燃燒銷毀。[2023/8/7 21:28:34]

攻擊者獲利數目截圖

消息人士：SEC或將加大對投資數字資產的風險投資基金審查力度:2月9日消息，消息人士表示，自FTX破產之后，隨著加密融資熱潮的下降，美國證券交易委員會正在關注投資數字資產的風險投資基金。美國證券交易委員會檢查部周二將“加密資產”和其他新興技術列為2023年的首要任務，在“最近的金融危機造成干擾”后，將對經紀交易商和注冊投資顧問進行審查。

Willkie Farr & Gallagher LLP合伙人Justin Browder表示，“FTX問題放大了投資加密資產的投資顧問帶來的風險，因此SEC現在特別有動力去認真審視，因為這些資產的投資者受到了實際傷害”，此外，他還表示，SEC對兩個領域感興趣，“包括風險投資公司在內的投資顧問如何為客戶尋找最佳利益，以及顧問如何為這些客戶持有加密貨幣”。[2023/2/9 11:57:18]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

一個休眠3.5年的比特幣地址將1.5萬枚BTC轉移至“1LGAVQ”開頭地址:金色財經報道，Bitinfocharts數據顯示，一個休眠3.5年的比特幣地址將1.5萬枚BTC（價值約2.525億美元）轉移至“1LGAVQ”開頭地址 ，現在地址“1LGAVQ”持有 26056枚BTC （4.392 億美元）。[2023/1/6 10:26:21]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。利用Yearn.Finance合約中漏洞，反復將DAI與?USDT?從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：DEFIETHDEFEFIDefiskeletonsETHMOONDEFLCTWEFI

幣安下載