比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

NFT:16萬美元資產被盜竟是烏龍事件?Yeld.finance“閃電貸攻擊”事件簡析_HERO

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?

成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。

過去24小時全網爆倉8385.16萬美元:金色財經報道,數字貨幣全網合約爆倉數據顯示,過去24小時全網爆倉8385.16萬美元。其中比特幣爆倉2380.73萬美元,以太坊爆倉1292.43萬美元。[2023/2/20 12:16:55]

二、事件分析

△圖1?交易信息

如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:

當前加密貨幣總市值約為1.16萬億美元:據金色財經數據顯示,全球加密貨幣總市值約為1.16萬億美元。加密貨幣市場中占比排名第一的是BTC,市值約合7305.74億美元,當前市值占比為62.88%;

ETH排名第二,市值約合1880.48億美元,當前市值占比為16.18%;

ADA排名第三,市值約合213.78億美元,當前市值占比為1.84%。[2021/2/8 19:14:06]

△圖2?deposit函數源代碼

很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。

NFT-HERO總生成NFT卡牌數突破40000,NFT交易筆數突破16萬:據HECO火幣生態鏈上數據,NFT-HERO上線3周時間,NFT卡牌總生成數突破4萬,NFT卡牌交易筆數突破16萬,NFT交易板塊總交易額近100萬美金,NFT-HERO治理通證SH(Super Hero)24小時交易額超過65萬美金。根據Heco區塊瀏覽器數據統計,NFT-HERO的NFT生成總量以及NFT交易筆數均為HECO鏈上排名第一。

2月4日由橡樹資本與NFTHero聯合舉辦的NFT卡牌空投抽獎活動圓滿結束。本次活動歷時4天,共計參與人數9529人。

NFT-HERO是HECO原生的GameFi項目,以區塊鏈方式孵化ip以及為之賦能。用戶通過開啟盲盒的方式收集各種NFT,獲得該項目的治理代幣SH(Super Hero)。項目內已上線NFT交易市場和創新的雙挖礦池。

2月4日至2月9日期間,NFT-HERO參加HECO紅包周活動,將送出655枚NFT盲盒卡包,內含1500枚SH通證,總值20000美金。[2021/2/4 18:54:59]

第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。

行情 | 1JFd開頭地址接收1.16萬枚BTC 并于12分鐘內清空所有BTC:據chaindigg數據顯示,今日10:16,18E7wcufr1v3fcHWV1XG7LCYHo51VhUHZh

向1JFdx1M13hRJNKYoqYD7fP1YmLGbQUCRWj轉出了11589枚BTC。

經分析,18E7開頭的地址創建于今年7月4日,累計發生了36筆轉賬。在所有轉賬記錄中,最大轉賬額為1000個BTC,僅發生了3筆。目前已經清空地址內所有BTC。此外,1JFd開頭的地址為今日的新建地址。經進一步監測,1JFd開頭的地址于今日10:28將剛接收的11589枚BTC分到51個新建地址里,其中50個地址里轉有211.79枚BTC,1個地址內轉了1000枚BTC。如有異常,將持續追蹤。[2018/8/22]

然后進入第555行的rebalance函數,分析該函數的邏輯。

△圖3?rebalance函數源碼

△圖4?recommend函數

第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:

△圖5?recommend查詢結果

其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。

△圖6?_withdrawAll函數源代碼

第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。

最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。

整個交易就此結束,可以看到,這次所謂的“閃電貸攻擊”只是虛驚一場。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的“閃電貸攻擊”,可謂是鬧了場烏龍事件。

值得注意的是,dYdX在該事件中充當了一個“良心商家”的角色,并不是以往閃電貸攻擊中的幫兇。

三、安全建議

盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。

同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。

Tags:NFTDAIECOHERONFT4PlayCrypto Daily Tokenecoterra幣APpMetahero Universe

歐易交易所app下載
FIL:Filecoin未來是什么?2021年預測FIL價格是多少?_fil幣最新消息虛擬機

IPFS/Filecoin是一個長期性的項目,需要時間的澆灌才可以變成一棵大樹。但這分毫不影響大家對Filecoin的希望。現如今,世界經濟正在發生巨大的變化,互聯網成為新基建的重要組成部分.

1900/1/1 0:00:00
OIN:晚間必讀 | 以太坊EIP-1559能順利實施嗎?_Coindy

1.以太坊EIP-1559能順利實施嗎?2月26日,中國區以太坊礦池魚池宣布支持EIP1559,而另一中國區以太坊礦池星火礦池卻選擇并不接受EIP-1559的部署.

1900/1/1 0:00:00
比特幣:金色早報 | V神:即使有Rollups也還是需要分片_ROLC

頭條 ▌V神:即使有Rollups也還是需要分片2月28日消息,V神今晚面向國內用戶進行了AMA問答,他認為,即使Rollups能使以太坊交易量提升100倍,以太坊還是需要分片.

1900/1/1 0:00:00
幣虎2021年3月1日18:00上線TIGER/USDT交易對

尊敬的用戶: 幣虎創新區將于2021年3月1日18:00上線TIGER/USDT交易對,具體時間如下:1.開放充幣:2021年3月1日14:00;2.開放交易:2021年3月1日18:00;3.

1900/1/1 0:00:00
HOT:Hotbit 定于2021年3月2日上線OPEN(OpenDAO)_hotcoinglobal交易所怎么樣

尊敬的用戶: Hotbit即將在開啟OPEN數字資產服務,并開放OPEN理財產品。 具體安排如下: 充值時間:2021年03月02日15:00??(香港時間)交易時間:2021年03月02日17.

1900/1/1 0:00:00
OIN:隱私硬幣Firo暫時禁用調查“可疑交易”的協議_yfdai幣暴跌

根據項目負責人魯本·雅普的說法,隱私權硬幣Firo背后的團隊已經確定了多個“可疑”的Lelantus交易.

1900/1/1 0:00:00
ads