全方位分析DeFi项目Yearn Finance闪电贷攻击事件

一、事件概览

北京时间2021年2月5日，舆情监测到，DeFi知名项目YearnFinance发生闪电贷攻击事件。

简言之，本次攻击事件的具体手法为攻击者利用闪电贷借取巨额资金，而后进行循环套利。根据成都链安安全团队的响应和分析，本次攻击事件的合约为yValut+CurvePool。

人民大学杨东：运用区块链为知识产权提供全方位保护:中国人民大学未来法治研究院教授、区块链研究院执行院长杨东建议，运用区块链技术为知识产权提供从创造、使用到权利救济全流程、全方位的保护，利用区块链可溯源、不能篡改的属性，满足司法证据的需求。还可以尝试基于区块链技术的“共票”机制，将数据生产者、数据加工持有者、数据使用者紧密结合在一起，打破平台对数据生产资料的垄断，使数据原始生产者即广大平台的用户可以加入到与数据相关生产经营中去，分享所获利润。（人民日报）[2020/12/5 14:03:13]

二、事件分析

1.攻击者在yVault合约中存入DAI，并调用earn触发yValut向流动性池使用DAI添加流动性，如下图所示：

声音 | 詹庆华：上海海关将利用区块链等手段实现全链条、全方位的监管:上海23日出台《上海海关支持上海科创中心建设实施方案》（2020版），创新实施科研机构“白名单”制度等，为进口研发用品的高效安全通关开绿灯。上海科创中心海关关长詹庆华表示，上海海关将利用诸如物联网、区块链等现代科技手段，在提高进口研发用品的通关效率的同时，实现全过程、全链条、全时空、全方位的监管。（新华社）[2019/12/24]

帅初谈陈伟星朱啸虎互怼：很正常，新技术需要全方位辩论:谈及昨天陈伟星和朱啸虎互怼一事，帅初表示，“我个人觉得争论是很正常的事情，对于一个新的技术，需要大家全方位的讨论和辩论，美国应该举办了很多次辩论了，对大家都是一个互相认知和互相学习的机会。”[2018/2/26]

上图红框显示，在进行铸币时，需要读取合约中的DAI余量，但因为策略合约中的DAI已经抵押至curve合约进行盈利，所以要计算DAI代币的量，只能通过价值换算，计算出所持有的Curve代币能够兑换的DAI的量。

2.攻击者利用借来的资金向流动性池使用USDT添加流动性，获得Curve代币，如下图所示：

迫于韩国当局的全方位压力有3家银行宣布不为虚拟货币交易所提供虚拟账户:韩国虚拟货币交易所将在30日开始恢复实名制，但是有3家银行决定不为虚拟货币交易所提供新的虚拟账户，另外3家表示完全没有为虚拟货币交易所提供虚拟账户的计划。新韩银行，NH农业银行及IBK企业银行表示将决定暂停提供新的虚拟账户。只有那些以前拥有虚拟货币交易账户的客户可以在30日完成确认真实姓名后使用他们现有的账户。国民银行在去年7月虚拟货币交易所中发生泄露客户信息事件之后关闭了虚拟账户。KEB韩亚银行正在考虑与全球金融公司建立自己的区块连锁网络，但并未与虚拟货币交易所签署协议。友利银行因由于更换自己的计算机网络，很难在30日之前建立真实姓名系统而决定暂时不提供虚拟账户。[2018/1/24]

这里值得注意的是，攻击者向池中注入的是单一的USDT，因为池子的特性，我们知道，当一种代币的含量上升，其相对价格也就下降。

3.攻击者取出yValut合约中存入的DAI，如下图所示：

根据#2可知，此时的池子中因为USDT的含量增加，所以DAI的相对价格是上升的，这也就导致攻击者所持有的Curve代币兑换出的DAI相对下降，池子中将会余留少量DAI。

4.攻击者指定与添加流动性时相等的USDT数量，进行流动性移除，注意这里因为#3时将一部分DAI取走，所以USDT的相对#2时价格下降，所以这里将余下一部分Curve代币.

?

不断进行上述循环，这使得攻击者消耗DAI进而获取Curve代币。

经过多次循环之后，攻击者套取了大量的Curve代币，而将DAI代币打入了Curve合约中。在整个攻击流程结束时，攻击者使用Curve代币，兑换出DAI/USDC。

这次兑换，因为不是USDT的兑换，即使此时的DAI相对攻击前含量较高，也会按照同等比例进行兑换，也就是攻击者打入Curve池子中多出的DAI代币，也会分发给攻击者。

这里，我们再来看攻击者在进行攻击时的第一步操作，如下图所示：

攻击者利用闪电贷向池子中添加了巨量的流动性，这就导致这些多出的DAI，最终将会大部分分给攻击者。

而除去这一部分损失，攻击者还获得了更多的Curve代币，从而获利。

三、安全建议

针对本次事件，成都链安安全团队认为，很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查，进而导致闪电贷攻击事件的发生。

在此，成都链安需要提醒区块链各生态项目方，切不可因项目上线完成之后就掉以轻心，做好日常的安全排查和安全加固等工作，寻求第三方安全公司的力量，建立一整套的安全防护机制，防范于未然。

标签：DAICURCurve区块链Prime DAISecured MoonRat Tokencurve币价格走势区块链技术通俗讲解知乎

币赢热门资讯