CertiK：Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末_ANC:CER

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。攻擊者獲利數目截圖

CertiK：Curve Finance黑客攻擊事件被盜61.2萬美元的穩定幣:8月10日消息，據CertiK監測顯示，Curve Finance中已有包括USDC和DAI在內價值61.2萬美元的穩定幣被盜并發送到EOA 0x50f9，并被兌換成ETH。被盜原因為黑客部署了惡意合約并攻陷Curve Finance DNS指向惡意站點，當個人與黑客合約交互時，用戶的資金將被發送到黑客錢包。到目前為止，黑客已經從錢包中轉出362.8枚ETH。ETH被轉移到Tornado Cash（27.7 ETH）、FixedFloat（292 ETH）、幣安（20 ETH） 和兩個EOA - 0xcDd3和0x4547（23.1 ETH）。[2022/8/10 12:15:32]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

UENC公鏈與CertiK、北京鏈安達成戰略合作:據官方消息，UENC公鏈智能合約預計將于7月上線測試網，待測試網各項指標達標，將在第三季度部署主網，合約審計業務已與CertiK和北京鏈安達成戰略合作，運用UENC鏈上特性，雙方將共同推動應用生態的安全規范發展。

UENC（United Engine Chian，引擎鏈）是一個高效節能的去中心化公有鏈系統，通過DPOW的共識算法，實現了CPU低能耗的工作模式，實現了鏈上快速，高并發的支付交易，目前任何可用的計算機都可以參與網絡的基礎建設。[2021/6/11 23:30:09]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：具體步驟如下：利用閃電貸籌措攻擊所需初始資金。

Balancer將YFII添加進白名單:Balancer新增一批代幣名單，YFII在列。

據悉，為Balancer白名單上的代幣交易對提供流動性，挖礦同時可獲得BAL獎勵，實現YFII與BAL雙挖。即便YFII減半至挖礦幾近結束后，在該池提供流動性仍可獲得BAL獎勵。[2020/8/25]

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：ANCCERNCEETHTenSpeed.FinanceCERE價格Carve FinanceQETH

SAND