CRV:首發 | Yearn.Finance驚爆漏洞 DeFi再遭打擊 一文帶你探明事件始末_USD

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

加密投注網站Hamsters.gg平臺幣HAMS 24小時漲幅近783%:金色財經報道，Hamsters.gg（一個允許用戶在倉鼠直播比賽中進行加密投注的網站）周四上線后，該平臺自己的代幣HAMS飆升。根據Dexscreener的數據，基于以太坊的HAMS在Uniswap V2的24小時漲幅達到783%，從前一日的約0.29美元一度上漲到本日峰值2.56美元，當前回落至1.37美元、過去 24 小時內的交易量已超過1530萬美元。[2023/7/22 15:51:38]

序號

交易目的

交易獲利

1

利用漏洞獲利

3Crv:349852,USDT:11305

BTC最后活躍6至12個月的供應量創近21個月低點:金色財經報道，數據顯示，BTC最后活躍6至12個月的供應量在過去一小時(1d MA)達到1,733,568.490BTC，創近21個月低點。[2023/3/23 13:21:49]

2

利用漏洞獲利

3Crv:316814,USDT:11833

3

利用漏洞獲利

3Crv:287544,USDT:11818

4

利用漏洞獲利

3Crv:258554,USDT:11761

5

安全團隊：JJH DAO確認為Rug Pull項目:金色財經報道，據CertiK安全團隊證實，JJH DAO確認為Rug Pull項目。目前其項目代幣JJH價格跌副超過94%。該項目的合約部署者通過大量鑄造JJH并迅速轉出交易，從中獲利約33.6萬美元。

合約地址：bsc:0x95094af9738445655501b2f10c55aa55e5a00c73。[2022/5/18 3:23:57]

利用漏洞獲利

3Crv:276366,USDT:11472

6

利用漏洞獲利

3Crv:249387,USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,2603Crv轉換為878,188?USDT

8

利用漏洞獲利

3Crv:226448,USDT:11242

9

利用漏洞獲利

3Crv:198877,USDT:12302

10

利用漏洞獲利

3Crv:172524,USDT:11987

11

將當前交易獲得的3Crv剩余總量的一半轉換為USDT獲利

733,5553Crv轉換為742,042USDT?

12

利用漏洞獲利

3Crv:152217,USDT:11570

13

利用漏洞獲利

3Crv:127856,USDT:11017

14

將剩余所有3Crv轉換為DAI獲利

506,814Crv轉換為513,356DAI??

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

安全建議

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

CertiK建議：

完備的安全保障=安全審計+實時檢測+資產保障

來源：金色財經

Tags：CRV3CRVUSDSDTcrv幣漲不起來的原因3crv幣怎么賣BABYBUSD穩定幣USDT行情

歐易okex官網