CER:CertiK：Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

CertiK通過美國AICPA審核獲得SOC 2類型I認證:金色財經報道，Web3安全審計公司CertiK已經通過了美國注冊會計師協會（AICPA）的審核，獲得了該機構頒發SOC 2 類型 I 認證。SOC2類型I認證是AICPA基于確保服務機構滿足客戶數據安全而提出的標準，素以嚴苛著稱。CertiK通過獨立的第三方審計進行了安全控制、流程和政策等多全面審計和評估，滿足了SOC 2的嚴格標準，有能力為客戶和合作伙伴提供最高級別安全的承諾。在通過該認證后，CertiK方面也表示將一如既往地致力于提供最先進的安全解決方案，使個人、企業和組織等能在保證安全的前提下充分發揮區塊鏈技術的潛力。[2023/7/18 11:00:28]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

Balancer發起新提案，擬將額外收取的wstETH退還至流動性提供者:3 月 9 日，去中心化交易平臺 Balancer 發起社區提案投票，計劃將額外收取的 wstETH 退款至流動性提供者。此前由于協議費收取設計機制問題，Balancer 的協議費收集合約積累大量額外收取的 wstETH。Balancer 計劃以空投形式將其分發給實際受影響的流動性提供者，Gas 費將由 BalancerDAO 的金庫支付。此次投票將于 3 月 12 日 3:00 結束。[2022/3/9 13:47:01]

Aave社區發起“初始資金庫策略”提案，建議部署Reserve Factor在Balancer V2上獲得BAL獎勵:9月18日消息，DAO資金庫聚合平臺Llama在Aave社區發起新提案“初始資金庫策略”，建議部署Reserve Factor (RF)通過在Balancer V2上獲得BAL獎勵以賺取額外收益。這個策略有兩個目標：使用資金庫中的aToken賺取額外收益；通過與Aave交互的協議積累治理影響。Llama提議將RF中持有的一部分aToken存入Balancer V2池中以獲得BAL獎勵。另一種策略是使用Ecosystem Reserve中的AAVE（價值8.21億美元）作為抵押品，以便借入穩定幣來為產生收益的策略提供資金。此外，Balancer V2 LP代幣有可能被集成到Aave的AMM平臺中。[2021/9/19 23:35:54]

攻擊者獲利數目截圖此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：

具體步驟如下：利用閃電貸籌措攻擊所需初始資金。利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：CERBALANCNCECrypto Against Cancerfootball幣發行量Financial Intelligence Group TokenYFS.Finance

SHIB最新價格