比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

慢霧 : 簡析yearn finance千萬美元閃電貸攻擊事件

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池今日遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC

慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性

慢霧創始人發布MetaMask瀏覽器插件失效解決法方案:2月16日,慢霧創始人在回復社區成員問題時,分享 MetaMask 瀏覽器插件無法啟動解決法方案,在沒有備份過助記詞/私鑰,同時重啟插件/電腦均無法解決的情況下,可在電腦本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn,這是 MM 擴展 id,如這個目錄下:

C:\\Users\\[User]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\Local Extension Settings

kbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 這些文件,在這些文件里找到如圖目標內容。

后用 metamask.github.io/vault-decryptor/解開這段目標內容,Password 就是目標 MetaMask 擴展的密碼。

若 MM 的任意擴展頁面可以打開,比如:chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html,則用下面的方式也有得到待解密的內容:

chrome.storage.local.get('data', result => {

var vault = http://result.data.KeyringController.vault

console.log(vault)

})[2023/2/16 12:10:14]

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值

聲音 | 慢霧余弦:以太坊Mist瀏覽器當時選型Electron做瀏覽器是很悲催的決定:慢霧余弦發微博表示,以太坊Mist瀏覽器決定關停的一個重要原因確實是“安全考慮”,他們當時選型Electron(基于Chromium和Node.js的)來做瀏覽器確實是個很悲催的決定,Electron本身對許多0day的修復速度就很慢,JavaScript世界的安全問題又很多,而Mist定位的核心部分是錢包+DApp瀏覽,這導致許多安全風險容易放大甚至失控,導致Mist不得不費很多不必要的精力在Electron本身的安全問題上,還不如放棄、重建。[2019/3/25]

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。

參考攻擊交易:

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

Tags:DAIUSDUSDCSDCDAIN幣AUSDTusdc幣是誰發行的CUSDC價格

火幣APP下載
EFI:對話MCDEX劉杰:DeFi熱潮持續與否關鍵看這兩點 |鏈捕手

DeFi熱潮之下,MCDEX是行業少數幾家去中心化衍生品交易所之一以及國產DeFi項目之一,主要采用AMM機制提供市場流動性,目前每日交易量穩定在百萬美元以上,鎖定資產則價值千萬美元左右.

1900/1/1 0:00:00
INJ:簡析Injective Protocol(INJ)的技術特性與經濟模型

本文系鏈捕手原創文章,作者為LonersLiu。加密貨幣巨大的價格變動吸引著投機者,期貨合約這種自帶的杠桿機制放大了波動的倍數,受財富效應吸引了不少交易者更青睞交易期貨產品.

1900/1/1 0:00:00
比特幣:第九城市再度增購逾萬臺比特幣礦機

鏈捕手消息,互聯網企業第九城市今日宣布,已經和6位礦機擁有者簽署具有法律效力的備忘錄,以增發新股的方式購買一批比特幣數字貨幣礦機.

1900/1/1 0:00:00
區塊鏈:世界經濟論壇發布2021年區塊鏈的4個預測

鏈捕手消息,世界經濟論壇發布《2021年區塊鏈的4個預測—從加密貨幣到藝術品》提及:1.身份認證:疫情危機增加了消費者對不損害個人隱私和自由的身份解決方案的需求.

1900/1/1 0:00:00
區塊鏈:a16z crypto合伙人:區塊鏈的魅力與挑戰

本文于2019年7月7日發布于鏈捕手公眾號,作者胡韜。ChrisDixon是當前區塊鏈領域最具影響的投資人之一,他在1999年碩士畢業于哥倫比亞大學哲學系,并在經歷多年傳統金融投資經驗后于201.

1900/1/1 0:00:00
ENT:嘉楠科技與礦業巨頭Core Scientific簽署6000臺阿瓦隆礦機訂單

鏈捕手消息,嘉楠耘智官方公眾號顯示,嘉楠科技與礦業巨頭CoreScientific簽署6000臺阿瓦隆礦機訂單,并與初創公司DroneEnergy達成了礦機采購合作意向.

1900/1/1 0:00:00
ads