比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

DAI:成都鏈安:DeFi項目Yearn Finance閃電貸攻擊事件分析_EOS

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。?

簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValutCurvePool。

二、事件分析

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

成都鏈安:BAYC項目具有被無限鑄幣的風險:據成都鏈安安全輿情監控數據顯示,BAYC項目具有被無限鑄幣的風險。成都鏈安安全團隊分析發現,合約的擁有者并非多簽錢包,合約擁有者可以任意調用reserveApes()函數進行鑄幣,每次調用函數可以直接鑄造30枚無聊猿NFT,如果合約所有者遭到釣魚攻擊或私鑰泄露等,可能會導致大量無聊猿NFT被鑄造并售賣。后面成都鏈安會持續監控該合約擁有者的動向。[2022/6/6 4:04:55]

△圖1

成都鏈安CMO:交易所需建設一套完整的資金內控系統:3月11日晚8點,成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點:交易所需建設一套完整的資金內控系統,并對每筆資金的出入都應該做好審核和記錄。此外他還指出,關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司,由前海母基金,聯想創投,復星國際,分布式資本等知名企業和創投戰略投資,電子科技大學楊霞教授,郭文生教授,高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動,不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。

聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]

2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

△圖2

這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。

3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

△圖3

根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。

4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣。

△圖4

不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。

經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。

這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。

這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

△圖5

攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。

而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。

三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。

在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICURCurveEOSpDAI幣YCURVE幣LP-cCurveSEOS

火必交易所
CELO:關于LBank調整「幣生息」ZKS年化收益率的公告_CryptoBank

尊敬的LBank用戶: 出于對資產管理安全穩健的保障,LBank已對「幣生息」ZKS的年化收益率作如下調整:Celo關于遷移到以太坊L2架構的治理提案開啟社區投票:7月25日消息.

1900/1/1 0:00:00
GATE:Gate.io 理財寶今日高收益精選,BTC鯊魚鰭理財等中午12點開搶_BITGATTI

Gate.io“理財寶”上線至今推出許多款熱門幣種高年化率鎖倉/活期理財產品,始終緊跟市場步伐推出當下熱門的理財產品,深受用戶的喜愛與支持.

1900/1/1 0:00:00
ITA:星球日報 | CME以太坊期貨將于2月9日7時開始交易;北京將發放1000萬元數字人民幣紅包_rabbitKing

北京將發放5萬份金額200元數字人民幣紅包在北京冬奧會開幕倒計時一周年之際,北京市啟動“數字王府井冰雪購物節”數字人民幣試點活動,通過預約報名、抽簽發放紅包的方式.

1900/1/1 0:00:00
INS:專訪 HBTC 巨建華:合規和安全將會是突破口_GHT

前言 TokenInsight采訪了HBTC的創始人巨建華先生。巨建華先生技術背景出身,曾擔任Huobi首席技術官,同時連續兩屆擔任區塊鏈社區全球架構師峰會聯名主席,擁有扎實的區塊鏈技術基礎.

1900/1/1 0:00:00
CEL:CellETF:加密資產的意識不斷增強,如何實現加密資產配置_SPACELINK

如今加密資產的意識不斷增強,如何利用CellETF實現加密資產配置? 谷歌搜索趨勢 依據加密數據提供商TheTIE的統計數據,1月份谷歌趨勢上“購買加密貨幣”搜索量飆升至記錄新高.

1900/1/1 0:00:00
區塊鏈:首發 | 歐易OKEx研究院 :從國際貨幣體系變遷看數字貨幣未來影響_數字貨幣騙局最新消息

近期隨著國內DC/EP開始內測,人們對數字貨幣的關注度有了提高,社會各界也對此展開熱議。當前市場上最流行的一種觀點是“數字貨幣可實現數字與權力的映射,獲得這個時代的金融控制權”,這也得到了一群加.

1900/1/1 0:00:00
ads