"2月5日,YearnFinancev1版本的yDAI機槍池漏洞被利用,損失1100萬美元,該名攻擊者總共獲得51.3萬DAI、170萬USDT和50.6萬3CRV,大約280萬美元。目前團隊正在針對此次事件進行調查,暫時禁用了在機槍池存入v1DAI、TUSD、USDC、USDT功能。"
2月5日凌晨5點左右,yearn官方在推特上表示,
“我們已經注意到yearnv1yDAI機槍池出現了一個漏洞。該漏洞已得到緩解。之后將發布漏洞報告。”
Yearn.finance已啟動安全審核平臺yAcademy:11月12日,Yearn.finance官方發布協議治理進展。內容顯示,Yearn.finance已部署YIP-53提案,已啟動安全平臺yAcademy。該平臺主要負責審核Yearn的合約。[2020/11/12 12:23:40]
Yearn核心開發者banteg隨后發布信息表示,
“YearnDAIv1機槍池被黑客攻擊,攻擊者已獲得280萬美元,整個機槍池損失了1100萬美元。在我們調查期間,針對v1DAI,TUSD,USDC,USDT機槍池的策略存款將會被禁用。”
yearn.finance的yETH Vault2天時間吸收37.8萬枚以太坊:加密資產投資家Andrew Kang發推表示:最新推出的yearn.finance的yETH Vault在推出后2天時間吸收37.8萬枚以太坊。它還可以在出現25%的暴跌時成功管控風險。[2020/9/4]
banteg還表示,yearn團隊對這次攻擊的應對反應迅速,從發現到實施緩解總共用時10分鐘14秒,將原本可能導致3500萬美元損失降低到1100萬美元。
yearn.finance:有關同意yVaults參與治理的投票人數已達目標:yearn.finance官方剛剛發推文稱,在關于是否允許yVaults參與治理的投票中,同意的人數已達成目標。假設這些支持的投票能一直維持到8月31日,那么提案將獲得通過,yVaults將被允許參與治理。[2020/8/25]
在這次漏洞攻擊中,攻擊者拿走了280萬美元,而另外超過300萬美元資金流向了Curve質押者。
黑客攻擊手法
TheBlock研究分析師IgorIgamberdiev表示,攻擊者在這次漏洞中總共執行了11個步驟。
1/通過閃電貸從dYdX借來11.6萬ETH
2/通過閃電貸從Aavev2借來9.9萬ETH
3/使用ETH作為抵押品借入1340萬USDC和1290萬DAI
4/在3crvCurve池中添加1340萬USDC和360萬DAI
5/從3crvCurve池中提取1.65億USDT
6/以下操作重復5次:
-將930萬DAI存入yDAI機槍池
-將1650萬USDT添加到3crv池中
-從yDAI機槍池中提取920萬DAI
-從3crv池中提取1.65億USDT
7/最后一次取款3900萬DAI和1.34億USDC,而不是USDT
8/償還Compound借貸
9/償還閃電貸
攻擊者每次重復操作的時候就會擁有更多3crv代幣,然后將其兌換為穩定幣。有意思的是,竟然使用了這么多次閃電貸。預計會有新的關于閃電貸的演講文章會很快發布。
截止目前,yearn還未發布關于這次攻擊的詳細漏洞報告,具體資金流向還不清楚。
索羅斯“親密戰友”罕見發聲:看不懂比特幣但還是買了 華爾街見聞 剛剛 22 原文標題:《索羅斯「親密戰友」罕見發聲:這是四十年最狂野的市場!》摘要:倉促結束30年金融戰場「戎馬生涯」后.
1900/1/1 0:00:00本文來源:中國新聞網,作者:孫自法記者2月8日從中國科學院軟件研究所獲悉,該所張振峰團隊聯合美國新澤西理工學院唐強團隊,在區塊鏈核心技術的拜占庭容錯(BFT)共識研究中取得重要突破.
1900/1/1 0:00:00Curve有著如同Windows95的粗糙操作界面,特殊的市場定位,精巧的通證設計,沒有水分的鎖倉量.
1900/1/1 0:00:00項目大年初二20點18分18秒正式開始流動性挖礦。DeFi流動性挖礦火爆一時,吸引了大量投資者參與.
1900/1/1 0:00:00受疫情影響,很多藝術畫廊門可羅雀,鮮有人光顧,一些畫廊為了自救,成功向數字化轉型,如Gagosian,憑借ArtistSpotlight在線觀展室系列完成了一筆數萬美元的交易.
1900/1/1 0:00:00多年來,機構投資者一直抱著迷惑和娛樂的態度觀望比特幣,但幾乎沒有參與。盡管它們被高額回報所吸引,但他們卻被比特幣發展初期缺乏規則以及無數關于黑客入侵、破產和騙局的頭條新聞所嚇到.
1900/1/1 0:00:00