Yearn因黑客攻击而损失1100万美元，这是如何发生的？

"2月5日，YearnFinancev1版本的yDAI机池漏洞被利用，损失1100万美元，该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV，大约280万美元。目前团队正在针对此次事件进行调查，暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5点左右，yearn官方在推特上表示，

“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”

Yearn.Finance将其SUSHI最大分配额转到yveCRVETH LP池:官方消息，Yearn.Finance将其SUSHI最大分配额转到yveCRVETH LP池。[2021/2/6 19:02:50]

Yearn核心开发者banteg随后发布信息表示，

“YearnDAIv1机池被黑客攻击，攻击者已获得280万美元，整个机池损失了1100万美元。在我们调查期间，针对v1DAI，TUSD，USDC，USDT机池的策略存款将会被禁用。”

Yearn.Finance社区发起提案计划开启YFI/BNT池流动性挖矿:11月20日，Yearn.Finance官方发文公布项目进展。内容显示，官方已发布Yearn Vaults合约v0.2.0版本；与此同时，社区论坛已发起两个提案开启民意调查。提案具体为，Bancor的YFI/BNT池具有永久损失保护功能，用户可提供单向或双向流动性，但资金池太小。于是提案提议：1.更改YFI/BNT池大小限制；2.将YFI/BNT交易对投票设为大市值组合，并为其开启流动性挖矿奖励。此外，核心开发者称正在构建第三个基于Maker的保管库，以YFI为基础资产，与现有yWETH和yWBTC保管库使用方式类似，至此提议在YFIUSD预言机上将Yearn Finance列入白名单。[2020/11/20 21:26:10]

banteg还表示，yearn团队对这次攻击的应对反应迅速，从发现到实施缓解总共用时10分钟14秒，将原本可能导致3500万美元损失降低到1100万美元。

钱包聚合器Frontier集成Yearn yVaults:钱包聚合器Frontier宣布集成Yearn yVaults。用户现在可以无缝追踪和管理他们的vault头寸与Frontier移动界面。[2020/11/4 11:38:38]

在这次漏洞攻击中，攻击者拿走了280万美元，而另外超过300万美元资金流向了Curve质押者。

数据：yearn.finance的yETH vault已存入超过25万枚ETH:zapper.fi数据显示，DeFi聚合收益协议yearn.finance（YFI）于昨日上线的新机池yETH vault已存入超过25万枚ETH。

9月1日消息，yearn.finance已推出新Vault产品yETH。当用户抵押以太坊资产时，yETH会在DeFi协议中自动生成最高的利息或“收益”。交易员认为该产品的需求可能很大，甚至可能给ETH带来“流动性危机”。据悉，yETH已由社区投票通过。[2020/9/3]

黑客攻击手法

TheBlock研究分析师IgorIgamberdiev表示，攻击者在这次漏洞中总共执行了11个步骤。

1/通过闪电贷从dYdX借来11.6万ETH

2/通过闪电贷从Aavev2借来9.9万ETH

3/使用ETH作为抵押品借入1340万USDC和1290万DAI

4/在3crvCurve池中添加1340万USDC和360万DAI

5/从3crvCurve池中提取1.65亿USDT

6/以下操作重复5次：

-将930万DAI存入yDAI机池

-将1650万USDT添加到3crv池中

-从yDAI机池中提取920万DAI

-从3crv池中提取1.65亿USDT

7/最后一次取款3900万DAI和1.34亿USDC，而不是USDT

8/偿还Compound借贷

9/偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币，然后将其兑换为稳定币。有意思的是，竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

截止目前，yearn还未发布关于这次攻击的详细漏洞报告，具体资金流向还不清楚。

标签：YEAEARNUSDETHyearn.financeYearnlabcusd币是什么币YFETH

币安币热门资讯