一、事件概览
北京时间2021年2月27日,舆情监测到,DeFi知名项目Yeld.finance官方发出通告,表示该项目的DAI池遭受到闪电贷攻击,原文链接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?
成都链安安全团队第一时间介入响应,对原文中所提及的交易
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。闪电贷攻击表示不背这个锅。
某PENDLE巨鲸投资回报率达1289%,仍持有58.16万枚PENDLE:7月3日消息,据Spot On Chain监测,一个PENDLE巨鲸地址投资回报率高达1,289%。其预计实现利润为21.5万美元;由于该地址仍持有58.16万枚PENDLE,有望再赚51.8万美元。
-该地址在2022年年中以4.3万枚USDC买入87.8万枚PENDLE,均价约0.049美元。
-质押1年,赚取4.37万枚PENDLE。
-当4月份其价格飙升1219%时,开始将PENDLE存入MEXC和Bitget,卖出均价为0.681美元。
- 18小时前以0.95美元的均价将10万枚PENDLE存入MEXC。[2023/7/3 22:14:48]
二、事件分析
KONAMI《恶魔城》系列NFT共计售得16万美元:1月17日消息,日前,日本知名游戏商KONAMI(科乐美)宣布将拍卖一系列NFT,以纪念其《恶魔城》系列。该系列将包括14个与早期任天堂游戏场景有关的NFT。截止目前,该系列NFT已全部售罄,共计售得16万美元。(asiaone)[2022/1/17 8:54:07]
△图1?交易信息
如图1所示,该笔交易是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移,分别用T1到T6表示。那么,这些代币转移究竟是什么操作导致的呢?下面通过代码进行分析:
超16万枚ETH在未知钱包间转移:金色财经报道,据Whale Alert数据,北京时间5月6日03:32,163690.56枚ETH从0xf274开头未知钱包地址转至0xde2a开头未知钱包地址,价值约5.67亿美元。交易哈希为:07f40176c256eeb3073a1b38d34130265fc0df37f5c26657d860d226c68f90a7。[2021/5/6 21:27:20]
△图2?deposit函数源代码
很明显,第538行代码,产生导致了序号为T1的代币转移,将token转移到yDAI合约。这是一笔普通的代币转账,表示用户存入了9,377DAI到yDAI合约。
动态 | 38821枚ETH发生大额转账,价值约516万美元:据链上数据监测,01月05日01时55分,38821枚ETH(价值约516万美元)从0xda42开头的地址转入0xbc8a开头的地址,交易哈希为0x3e02ed096e675f2c15a2e67acbb267efd17f8d7d649707e85fbcf173f4443e75。[2020/1/5]
第541-553行代码,是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表示yDAI合约向用户铸了9,306yDAI。
然后进入第555行的rebalance函数,分析该函数的逻辑。
△图3?rebalance函数源码
△图4?recommend函数
第732行代码会计算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询结果如图5所示:
△图5?recommend查询结果
其中dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。
△图6?_withdrawAll函数源代码
第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币转移,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。
最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。
整个交易就此结束,可以看到,这次所谓的“闪电贷攻击”只是虚惊一场。用户只是单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的策略机制,并不是所谓的“闪电贷攻击”,可谓是闹了场乌龙事件。
值得注意的是,dYdX在该事件中充当了一个“良心商家”的角色,并不是以往闪电贷攻击中的帮凶。
三、安全建议
尽管本次事件经成都链安安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击加以预警和防范。
同时,作为致力于区块链生态安全建设的成都链安也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建覆盖全生命周期的一站式安全解决方案方为万全之策。
亲爱的AEX安银小伙伴:?AEX安银借贷宝业务已上线COMP数字资产项目,支持超30币种借贷,具体详情如下: 上线时间:2月26日 币种:COMP AEX交易所将上线FIL6(Filecoin期货):据AEX官方消息.
1900/1/1 0:00:00吴说作者|冬兵 本期编辑|ColinWu **** 2月26日星火矿池公开反对以太坊EIP-1559升级,而鱼池则公开表态支持,两方针锋相对,引发广泛关注.
1900/1/1 0:00:00多言不可与谋,多动不可与久处,交易与其冲动,还不如一动不动!大家好,我是席幕枫。心存阳光必有诗与远方,认识老席何惧再遇荒凉?席幕枫:2.27ETH行情分析以太坊,日线断崖续跌,价格水平线于1400关口有所止泻.
1900/1/1 0:00:00摘要: GrayscaleBitcoinTrust多年来首次以“折扣价”进行交易。一些分析师担心这对市场而言是件坏事,也有人认为并不需要那么担心。市值为320亿美元的灰度比特币信托基金的股票交易价格,自2015年来首次出现负溢价.
1900/1/1 0:00:002月15日-2月21日当周,明星项目进展中值得关注的事件有:NEAREVM预计在第二季度初或中期上线主网;NEM宣布新链Symbol主网将于3月15日启动;Solana和Serum上构建SushiSwap;Aave生态NFT游戏Aav.
1900/1/1 0:00:00比特币天图 2020.2.26这一天比特币天图收盘在上升趋势线和15EMA均线下方,预示着天图级别的上涨趋势暂停!接下来将进入一段复杂调整周期,在复杂调整周期中,我们尽可能保持观望的态度.
1900/1/1 0:00:00