比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

DRE:一文回顧YFI創始人Andre新項目遭黑客攻擊事件

Author:

Time:1900/1/1 0:00:00

文章來源:matataki

作者:小島美奈子

Mementotehominemesse:謹記你不過只是一個人。——《世界語言簡史》,常被引用的拉丁語名言

這已經不是Andre第一次翻車了,今年早些時候,Andre在剛開始構建yCrv的時候,就發生過一次事故,使得一個早期用戶損失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

這件事件之后,Andre的置頂推文就是那則著名的Disclaimer。

加密支付網關NOWPayments新增集成eCash Network:8月3日消息,加密支付網關NOWPayments新增集成eCash Network,使用NOW Payments的商家已接受用戶使用XEC代幣進行付款等。[2023/8/3 16:15:41]

而就在本月中旬,YFI的社區項目SAFE也發生了內幕交易,提前買入了大額保單。雖然不是Andre的直接責任,但依然對YFI的社區造成了一定影響。

昨天發生的事故無論是損失金額,還是波及的人數,都比前幾次事故要遠遠嚴重。而且事故原理也更加簡單,簡直可以作為Flashloan的入門教程了。以至于Andre都寫不出像樣的Postmortem來進行說明。

事故原理

Flashloan大家一定已經不陌生了,在今年EtherDenver期間,DeFi項目bZq就曾連續發生數次事故。其中第二次攻擊并不是合約代碼的漏洞,而是利用了合約設計的缺陷——所有合約都按照預定的設計在執行工作,但當這些合約組合時卻形成了無風險套利的可能。因為攻擊者需要在一筆tx內同時完成「借款」和「還款」的操作,因而這種攻擊方法被稱之為閃電貸??。DragonFly的研究員HaseebQureshi就曾撰文,稱這種類型的攻擊將會成為DeFi開發中的「新常態」。

元宇宙工作空間平臺Tangle完成400萬美元融資,Qualcomm Ventures參投:金色財經報道,元宇宙工作空間平臺Tangle宣布完成400萬美元融資,Qualcomm Ventures、March Gaming和Dune Ventures參投,截至目前該平臺的融資總金額已超過1000萬美元。Tangle的使命是顛覆當前連續視頻會議和無休止通知的遠程工作文化,通過領先的人工智能技術將元宇宙釋放到工作空間中。除了 Qualcomm Ventures、March Gaming 和 Dune Ventures 的投資外,來自Unity、蘋果、微軟、Redfin和Roblox等公司的行業領導者和高管也提供了資金支持。(venturebeat)[2023/3/8 12:49:36]

事故合約

印度財政部長:敦促銀行使用Web3技術來檢測欺詐并生成預警信號:金色財經報道,印度財政部長Nirmala Sitharaman在孟買舉行的印度銀行協會第 75 屆年度大會上銀行使用 Web3 和 AI 等技術來檢測欺詐并生成預警信號。Nirmala Sitharaman還要求銀行制定未來25年的計劃,采用數字化和現代技術,到2047年使印度成為發達國家,她表示:“你需要制定戰略來滿足印度青年在未來 25 年的愿望,銀行要有創新的投資組合,以便對年輕人有吸引力,并讓他們能夠接觸到。”(menafn)[2022/9/18 7:04:09]

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

歐盟監管機構:許多加密資產能否在崩盤中幸存是一個問題:金色財經報道,歐洲證券及市場管理局(ESMA)主席Verena Ross表示,加密貨幣投資者應該將市場崩盤視為“警示教訓”,并且不能指望任何形式的救助。她說:“我認為許多加密資產是否能夠生存一個真正的問題。我希望一些投資者能看到這一點,并至少吸取教訓,想想他們將多少資金投資于這類資產。”

過去一年,全球加密市場下跌了70%以上,Ross表示她擔心這對普通投資者的影響。(英國金融時報)[2022/7/14 2:12:31]

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

黑客地址

養老金賬戶平臺IRA因黑客事件對Gemini交易所提起訴訟:6月7日消息,養老金賬戶平臺IRA Financial Trust對加密貨幣交易所Gemini提起訴訟,原因是Gemini沒有適當的保護措施來保護客戶的加密資產。據此前報道,2月8日IRA Financial Trust稱遭到黑客攻擊,導致3600萬美元的加密貨幣被盜,這些資產屬于Gemini保管的客戶退休賬戶。在IRA通知Gemini后,犯罪分子仍然可以將資金從交易所客戶的賬戶中轉移出去。

據悉,自事件曝光以來,兩家公司一直在互相指責對方為資金損失負責。IRA基金一直在努力為其受影響的客戶尋找解決方案,現在已承諾使用訴訟所得賠償受事件影響的客戶。(watcher.guru)[2022/6/7 4:08:17]

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

我們可以看到黑客一共發起了三次CreateContract操作,并且再得手之后,還還回去一半。

再看一些具體的受害者Case,比如這位老哥花了390個ETH去買EMN,一個小時之后只賣回了1個。

再比如這位推上的老哥@spzcrypto。。。前幾個小時還在轉推@eminencefi的狀態。。下一則推就gotrekt了==。。。。

看上去也根本不像是演的。類似的受害者想必不在少數。

雖然攻擊合約沒有開源。。但是死觀察這些tx的內聯轉賬可知。。。這是一個標準的閃電貸??過程。。。。很容易把攻擊原理還原出來,下面這則thread詳細的描述了攻擊經過:

如果你困惑于黑客是如何成功榨干$EMN合約的,這里是具體的機制。EMN合約允許你用DAI作為儲備金,鑄造EMN。它使用標準的類似Bancor的曲線——DAI被用作EMN的儲備貨幣,EMN代幣的價格由EMN的數量與儲備貨幣中的數量決定。

第二種代幣,eAAVE也類似,但有一個小而重要的不同——它是用EMN作為儲備貨幣,但卻是「虛擬的」——如果你通過向它發送EMN代幣來鑄造eAAVE,而不是將你的EMN存儲在儲備中,eAAVE合約實際上會銷毀EMN。這種相互作用使得攻擊者可以進行以下交易。下面是完整的攻擊過程:

從Uniswap中閃電貸??出15m的DAI。

用你的DAI鑄造盡可能多的EMN。

用一半的EMN鑄造eAAVE。這將消耗EMN,減少總供應量,從而抬高EMN的價格。

以10m的價格賣出你的后一半EMN。

現在賣出你的eAAVE,取回你的前一半EMN,降低EMN的價格。

以6.649m的價格賣回你的前一半EMN。

向Uniswap歸還15m的閃電貸??,享受1.67m的利潤。

重復以上策略三次。

黑客能在如此短的時間里發現合約的漏洞,因而社區猜測也是一次內線作案。雖然說TestinProd是Andre的標準做法。但是今天的Andre頭頂YFI之父的光環,其對社區的影響以不可同日而語。正所謂力量越大責任也越大,發生這樣的事故,Andre本人其實難辭其咎。

后續

YFI的幣價受此事故牽連,昨日大跌16%。

Andre本人也表示收到了許多受害者的私信人身威脅。隨后Andre表示將會永久封存自己使用已久傳奇賬號Yearn.Deployer。并不再使用TwitterShill自己的新項目。

同時Andre也失去了他的左膀右臂。。。YFI社區KOL,第一時間shill并目睹了被駭全過程的@Bluekirby。。。。藍色星之卡比表示自己將從YFI社區中辭職。

截止目前,該事件的影響依然在發酵中。

Tags:DREANDNDRENTADREAM幣SANDPolkaFoundryWeb 3 Development

抹茶交易所
AVE:美國網紅炒幣記

自從今年3月新冠肺炎疫情橫掃美國以后,「美國虎撲」BarstoolSports創始人DavePortnoy就成了活躍在推特上的網紅交易員.

1900/1/1 0:00:00
虛擬資產:歐盟將開曼群島從避稅天堂黑名單中移除,為進一步采用掃清了道路

周二,歐盟決定將開曼群島從其避稅天堂黑名單中刪除。開曼群島是加密貨幣業務的熱門司法管轄區。它于今年2月被添加到歐盟的黑名單中,所以它在黑名單上呆了不到6個月.

1900/1/1 0:00:00
CUR:獨家專訪Curve創始人 :2020年最慘的DeFi幣,CRV能“絕地求生”嗎?| Damo 專訪

文▏Damo索隆CRV讓幣民龍小樹虧了很多錢。它是穩定幣兌換項目Curve的平臺幣。Curve能實現低滑點,并且低費用穩定幣兌換,無常損失會相對較小.

1900/1/1 0:00:00
ISA:Visa正推進數字貨幣支付技術研究,助力央行探索CBDC開發

據Decrypt9月24日報道,Visa高級董事兼加密主管庫伊?謝菲爾德今天在一份報告中表示,全球支付網絡Visa正在推進其加密貨幣支付技術工作,并將在運營中采用區塊鏈技術.

1900/1/1 0:00:00
GAU:Gauntlet Network完成430萬美元融資,Paradigm領投

GauntletNetwork在由風險公司Paradigm領導的新一輪融資中籌集了430萬美元.

1900/1/1 0:00:00
區塊鏈:區塊鏈初創企業Data Gumbo獲400萬美元B輪融資,沙特阿美參投

據Ledgerinsights報道,總部位于休斯頓的區塊鏈初創公司DataGumbo宣布完成B輪的首次融資,獲得400萬美元資金.

1900/1/1 0:00:00
ads