千万美元损失背后的闪电贷攻击——yearn finance 被黑简析

2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队第一时间跟进分析，以下是慢雾的简要分析：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH

2.攻击者使用从第1步借出的ETH在Compound中借出DAI和USDC

3.攻击者将第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CurveDAI/USDC/USDT的大部分流动性

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/(USDT&USDC;)贬值

跨链DeFi平台SpaceFi TVL突破一千万美元:4月11日，据官方消息，基于 Evmos 和 zkSync 的跨链 DeFi 平台 SpaceFi 宣布该平台 TVL 已突破一千万美元。

SpaceFi 初始产品旨在连接 Cosmos 和 Layer2 生态系统，用户可通过流动性、交易挖矿或将 STAR Token 铸造成 NFT 获得更高的收益、治理权等，从而获得 DeFi 奖励。[2023/4/11 13:56:50]

5.攻击者第3步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币

量化交易公司DE Shaw持有数千万美元Coinbase股票和债券:金色财经报道，量化交易公司DE Shaw持有数千万美元Coinbase股票和债券，其中股票价值45.33万美元，债券在公开市场的价值为3700万美元（未偿还本金为6450万美元）。DE Shaw是华尔街历史最悠久的量化交易公司之一，其资产约为600亿美元。（Blockworks）[2023/2/16 12:09:55]

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例提现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中

Conor：SBF或能接触到他的钱包的人很可能在多个区块链上转移了数千万美元的先前未报告的交易:金色财经报道，Coinbase员工Conor在社交媒体上称，SBF（或能接触到他的钱包的人）很可能在Avalanche、BSC、Arbitrum和Polygon区块链上转移了数千万美元的先前未报告的交易。最近在1月2日和1月3日也有活动，我发现一个有3000多万美元的接收钱包，此外，我浏览了链接到SBF的每个地址并检查了其他区块链。ETH的私钥在其他EVM链上工作，我总共发现了12个以前未被媒体报道的钱包。这些钱包将大约14.4万美元的资产转移到了各个地方，包括币安。

在Arbitrum上收到资金的钱包尤其有趣，它之前在11月13日，即FTX宣布破产后的2天，获得了1266 ETH的种子，它在其他链（BSC、FTM等）上也有几千万的资金。[2023/1/6 10:24:38]

8.由于第3步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者

FDEX宣布成立千万美金DeFi专项孵化基金:8月11日，FDEX宣布与日本金融集团Decent Shares、安策资本联合成立千万美金DeFi专项孵化基金，专注DeFi领域优质项目投资，推动分布式金融落地应用。

FDEX是FShares Group旗下的去中心化交易所，致力于打造可信数字资产交易服务平台。此前日本新一代去中心化金融协议〇KK (Otakukin)获得FDEX战略投资孵化。

Otakukin基于FShares Chain推出去中心化金融协议，用户可以赚取存款利息和借出资产。存入和借出均可获得Otakukin原生代币OKK奖励。[2020/8/11]

9.重复上述3-8步骤5次，并归还闪电贷，完成获利。

参考攻击交易：

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

往期回顾

如何通过恒定乘积黑掉SushiSwap？简析SushiSwap第二次被攻击始末

慢雾科技三周年啦！

慢雾助力火币生态链、OKExChain，共同维护生态安全

AToken钱包通过慢雾安全审计

BiKi入驻慢雾区，发布「安全漏洞与威胁情报赏金计划」

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

__

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9648305.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

盘点零知识证明代表性项目：如何影响和塑造区块链生态系统？

标签：DAIUSDSDTSDCXDAIUSDC币bitkeep的usdt怎么转账出来CUSDC价格

火必下载热门资讯