CER:CertiK：Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。攻擊者獲利數目截圖

Balancer：已針對漏洞制定緩解程序但無法暫停受影響的資金池，尚無法披露損失確切數字:8月31日消息，DeFi流動性協議Balancer針對漏洞風險發布更新稱，已制定緩解程序以降低風險，但受影響的流動性池無法暫停，敦促用戶立即使用用戶界面（UI）退出受影響的LP。由于Balancer LP的警惕和迅速行動，最初被視為易受損的絕大多數流動性被撤回。然而，8月27日，即漏洞披露后5天，惡意行為者成功利用了在Balancer和Beethoven X協議中受影響的資金池中仍存在的部分資金漏洞。Balancer和Beethoven X社區正在采取已知措施徹底調查情況，并積極與相關合作伙伴、法律團隊和安全專家合作解決問題。用戶的安全仍然是最高優先級，如果UI不提示退出流動性池或允許用戶進入流動性池，則該池沒有風險并且被認為是安全的。

Balancer表示：我們仍在收集有關最近一些漏洞的信息，因此目前無法披露與損失有關的確切數字。在此期間，我們將保持警惕，并隨著事態的進展隨時向社區通報最新情況。我們仍在收集有關最近一些漏洞利用的信息，因此目前不可能披露與損失有關的確切數字。由于對漏洞及其參與者的調查正在進行中，在全面調查完成并發布事后分析之前，與社區之間的溝通將仍然受到限制。[2023/8/31 13:07:46]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

CertiK：Peter Schiff的Twitter帳戶遭入侵:金色財經報道，據CertiK稱，加密貨幣批評者Peter Schiff的Twitter帳戶遭入侵，黑客已經發布了一條指向釣魚網站的推文。CertiK建議不要點擊該鏈接或與之互動。

金色財經此前報道，Peter Schiff將從6月2日開始到6月9日拍賣其BTC Ordinals NFT藝術收藏。[2023/6/3 11:55:59]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：具體步驟如下：利用閃電貸籌措攻擊所需初始資金。

Larry Cermak談“聘請0xMaki領導Sushi”：預先支付50萬SUSHI實在太多了:The Block研究總監、Sushiswap九名多簽見證人之一Larry Cermak發推就（Adam Cochran提議的）“聘請Sushiswap聯合創始人0xMaki全職領導項目”的提案表示：我完全支持給予創始人更多獎勵，但預先支付50萬SUSHI代幣實在太多了，我不會支持這個提案，我建議降低預先支付的金額，將更多資金改為長期支付。

注：此前，Cinneamhain Venutres合伙人Adam Cochran提交了一項提案投票，旨在聘請0xMaki來領導該項目。該提案指出，如果聘請0xMaki全職領導項目，將會：

1. 預先支付50萬SUSHI代幣，并在鎖定一份50萬SUSHI幣的創始人捐贈；

2. 如果兩年后繼續為SUSHI工作還會支付額外50萬SUSHI幣報酬。[2020/9/12]

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：CERUSHSUSHINCESOCCER幣LUSHIsushi幣騙局Minions Finance

萊特幣