比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Gate.io > Info

DAI:成都鏈安:DeFi項目Yearn Finance閃電貸攻擊事件分析

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。二、事件分析

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

成都鏈安:Wuliangye NFT項目疑似Rug Pull,共獲利70.5個ETH:8月11日,成都鏈安鷹眼監測顯示,Wuliangye NFT項目疑似Rug Pull,官網和社群已關閉。成都鏈安安全團隊通過鏈必追-虛擬貨幣智能研判平臺追蹤發現,有595個地址購買了705個WLY NFT,項目方共獲利70.5個ETH,接著將ETH交換為111316.22個USDT,最終轉入0x28C6c06298d514Db089934071355E5743bf21d60地址(標記為Binance 14)。[2022/8/11 12:18:18]

△圖1上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商(VASP)監測交易風險、執行反洗錢合規程序,幫助監管部門監督VASP合規流程執行情況,幫助執法部門快速收集虛擬資產犯罪案件證據,為受害者提供技術協助,成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務,受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后,可在網站提交相關信息,平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統,采集鏈上交易數據,分析加密貨幣犯罪和安全事件,結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]

分析 | 成都鏈安:盜竊Upbit交易所黑客開始測試向交易所充值:據成都鏈安反洗錢系統(Beosin-AML)監測顯示,Upbit攻擊者于28日下午17:08開始向0xf467816地址轉移60100ETH,并將少量ETH轉往可能隨機選取的中間地址。通過該地址,這筆小額ETH目前已經進入疑似火幣交易所錢包地址0x5401dbf7da53e1c9。目前攻擊者正在分散資金,且通過少量的ETH測試是否能夠成功進入交易所。[2019/11/28]

△圖2這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

△圖3根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣。

△圖4不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

△圖5攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICURCurveUSDMEDAIcurriculum-vitaeSBTCCURVEUSDG

Gate.io
FIL:IPFS周報 | Siacoin即將硬分叉,周內暴漲57%;Filecoin算力上漲8%,Gas費整體飆升50%(1.25-1.31)

存儲板塊:Arweave沖高回落,即將硬分叉的Siacoin上漲57%;FIL周內繼續下跌2%,FIL7日凈流出減少54%;Filecoin全網算力繼續上漲8%.

1900/1/1 0:00:00
AIN:利用Chainlink預言機儲備金證明提升DeFi抵押品的透明性

過去幾個世紀以來,金融市場的作用一直是將人類社會創造的價值最大化。然而,如今全球金融系統普遍存在抵押率和透明性都不足的問題,導致系統性風險頻發,最終造成整個金融市場崩潰.

1900/1/1 0:00:00
比特幣:比特幣是泡沫嗎?不,它是裝滿泡沫的浴缸

現在又到了一個恐懼和懷疑可能很快就會籠罩市場的時刻。尤其是比特幣的新手投資者,他們可能在4萬美元的時候買入,現在看著負的PnL,很難說清楚現在到底是什么感覺.

1900/1/1 0:00:00
SOLID:萬維網的發明者,想把數據的全部控制權還給你

編者按:本文來自硅星人,作者:杜晨。在移動互聯網時代,萬維網已經是一個較少被提及的古老名詞。不過,它仍然是人們在互聯網上進行透過文字、多媒體等方式交互的重要工具,也是現如今我們所知道的每一家頂級.

1900/1/1 0:00:00
比特幣:觀點:未來商業銀行應該以BTC為中心?

編者按:本文來自加密谷Live,作者:AndreaBianconi,翻譯:李翰博,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
比特幣:摩根大通聯席總裁:摩根大通將在“某個時候”涉足比特幣領域

編者按:本文來自Cointelegraph中文,Odaily星球日報經授權轉載。美國主要投資銀行摩根大通的聯席總裁DanielPinto認為,摩根大通最終將不得不進入比特幣領域.

1900/1/1 0:00:00
ads