首发 | Yearn.Finance惊爆漏洞 DeFi再遭打击一文带你探明事件始末_CRV:3CRV

2月5日消息，据DeBank数据显示，DeFi真实锁仓量突破470亿美元，创下历史新高，本文撰写时为478.3亿美元，约等于3095亿人民币。

2020年被称为“DeFi元年”，DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发，然而其安全风险居高不下。

北京时间2月5日凌晨，CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件，攻击总损失高达约7100万人民币，黑客从中获利约1800万人民币。

黑客通过闪电贷获得攻击启动资金，利用Yearn项目代码漏洞，完成整个攻击。

攻击者获利数目截图

此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易，交易列表如下：

Astaria：因发现严重问题已处于暂停状态，确认没有资金丢失:6月21日消息，NFT借贷平台Astaria在推特上表示，北京时间6月20日12:42，Astaria意识到BeaconProxy.sol的基本执行存在一个问题，允许攻击者操纵beacon加载恶意执行，从而让攻击者调用自毁功能。所有资金和NFT都是安全的，此时无需采取任何行动，Astaria已处于暂停状态，无法发起新的贷款。暂停状态是为了保护协议中的所有资产，我们可以确认没有资金丢失。刚刚Astaria成功执行了白帽恢复脚本，挽救了所有LP和借款人的所有ERC20和ERC721资产。Astaria自5月25日以来一直处于公开测试阶段。恢复脚本使用更新的合约实施和恢复代码，将所有资金和NFT提取到Astaria多重签名地址。我们正在为后续步骤起草计划，并将尽快跟进。[2023/6/21 21:50:54]

序号

Meta：明年将把20%的支出用于元宇宙项目上:金色财经报道，尽管受到外界越来越多的质疑，Meta Platforms Inc．仍表示明年将继续把公司20%的支出用于“元宇宙”项目“Reality Labs”上。当地时间周一（12月19日），Meta首席技术官兼Reality Labs负责人Andrew Bosworth在公司官方博客上发文表示，未来Meta将延续今年三季度的支出方向——80%的投资将用于支持核心业务“应用程序家族”，而另外20%仍将用于Reality Labs。（财联社）[2022/12/20 21:55:29]

交易目的

交易获利

利用漏洞获利

RSS3宣布多项更新，将推出信息资本化平台 Crossbell:6月6日消息，去中心化内容分发和社交协议 RSS3 发布项目更新进展，RSS3表示，Web3 内容分发的四个特征包括专属来源、内容有价值、可读性以及行为可解释性。根据这些特征，RSS3引入了全新的 API，将 rss3.io 改版为地址追踪器和开发入口，并将探索 RSS3 代币的相关用例。此外，信息资本化平台Crossbell也将准备就绪。[2022/6/6 4:05:11]

3Crv:349852,USDT:11305

利用漏洞获利

3Crv:316814,USDT:11833

利用漏洞获利

3Crv:287544,USDT:11818

利用漏洞获利

3Crv:258554,USDT:11761

利用漏洞获利

3Crv:276366,USDT:11472

利用漏洞获利

3Crv:249387,USDT:11242

将前6笔交易获得的3Crv总量的一半转换为USDT获利

869,2603Crv转换为878,188?USDT

利用漏洞获利

3Crv:226448,USDT:11242

利用漏洞获利

3Crv:198877,USDT:12302

利用漏洞获利

3Crv:172524,USDT:11987

将当前交易获得的3Crv剩余总量的一半转换为USDT获利

733,5553Crv转换为742,042USDT?

利用漏洞获利

3Crv:152217,USDT:11570

利用漏洞获利

3Crv:127856,USDT:11017

将剩余所有3Crv转换为DAI获利

506,814Crv转换为513,356DAI??

除开3笔转换代币交易之外，剩余11笔获利交易均针对同一个漏洞，使用相同的攻击方式完成的获利。

攻击大致流程图如下：

具体步骤如下：

利用闪电贷筹措攻击所需初始资金。

利用Yearn.Finance合约中漏洞，反复将DAI与USDT从3crv中存入和取出操作，目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。

完成5次重复的DAI与USDT从3crv中存取操作后，偿还闪电贷。

CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞，更多漏洞细节将在后续分析中进行详解。

安全建议

加密世界的交互往往都伴随着一定的风险，而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险，此次漏洞的爆发同样是DeFi领域的一个警示。

CertiK建议：

完备的安全保障=安全审计+实时检测+资产保障

来源：金色财经

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

火币网下载官方app行情平稳运行留意补涨机会_FIL:Collectible

1900/1/1 0:00:00

行情分析?????1、行情良性运行,个币涨多跌少,市场赚钱效应良好,今天推荐的YFII,AE又再度飙涨；2、BTC和主流币走势符合预判,在昨天出现阴线后今天震荡反包.

币赢Bitfinex宣布已偿还Tether贷款余额但法律诉讼仍在继续_FINE:FIN

1900/1/1 0:00:00

在一份简短声明中,中心化稳定币Tether的姊妹公司Bitfinex宣布,它已经偿还了Tether5.5亿美元未结贷款余额.

区块链IPFS星际矿亨：同交流共发展_区块链:intervalue币怎么买

1900/1/1 0:00:00

1月26日,星际联盟应邀参加2020上海蓝天经济城企业家迎春座谈会。嘉定区政府、南翔镇政府以及蓝天经济城的诸位领导莅临会场,星际联盟CEO范国连出席会场并参与交流.

AAVE通过以太坊（ETH）来看Filecoin的长期发展_以太坊:ECO

1900/1/1 0:00:00

区块链一篇文?零门槛?解疑答惑?读懂区块链今日,以太坊暴涨,一日涨幅11.10%。之前有很多人说Filecoin现如今的状况正如早期的以太坊一样,那我们就一起来了解下以太坊的发展史吧！以太坊-E.

水星链

首发 | Yearn.Finance惊爆漏洞 DeFi再遭打击一文带你探明事件始末_CRV:3CRV

水星链