以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

慢霧 : 簡析yearn finance千萬美元閃電貸攻擊事件

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池今日遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC

慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性

動態 | 慢霧 TradingView 0day 漏洞預警:據 Joinsec 情報及慢霧安全團隊的深入分析,通用 K 線展示 JS 庫 TradingView 再次發現兩個 0day 漏洞,可繞過 Cloudflare 及瀏覽器 CSP 防御機制,并且不會在 Web 服務上留下日志。第一個 0day 漏洞如果被利用成功會導致用戶帳號權限被盜、交易惡意操作等,從而造成資產損失;第二個 0day 漏洞可以實施釣魚攻擊盜取用戶賬號密碼,也可在特殊場景下繞過目標 Web 服務的 CSRF 防御。TradingView 在數字貨幣交易等平臺被非常廣泛地應用,屬于商業軟件,版本分布未知。鑒于歷史披露及新發現的 0day 漏洞相關場景來看,我們強烈建議使用 TradingView 的項目方保持警惕,注意用戶的異常反饋。細節我們會在合適時機下披露。[2019/3/1]

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值

聲音 | 慢霧安全團隊:區塊鏈技術本身存在安全缺陷 可參考以太坊漏洞賞金計劃實現安全:據火訊財經報道,慢霧安全團隊表示,區塊鏈技術本身存在安全缺陷,研究區塊鏈安全的可以參考以太坊漏洞賞金計劃實現安全,包括:1. 客戶端協議實現安全;2. 網絡安全;3. 節點安全;4. 客戶端應用安全;5. 算法使用安全;6. Solidity 語言安全;7. ENS 安全。[2018/7/2]

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。

參考攻擊交易:

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

Tags:DAIUSDUSDCSDCDAILYSusdm幣是什么意思usdc幣是什么幣

芝麻開門交易所下載
深度 | 免費的午餐會持續嗎——流動性挖礦給DeFi生態帶來了什么?_EFI:DEF

本文于2020年7月28日,作者為董心書,鄭鉑瀚,Momir,肖銳忽如一夜春風來,千人萬腔論DeFi.

1900/1/1 0:00:00
Coinlist最新項目CasperLabs:它的擴容方案與經濟模型是怎樣的?_COIN:OIN

本文系鏈捕手原創文章,作者為LonersLiu。2月20日,?CasperLabs?宣布將于3月22日在CoinList上進行代幣銷售,將提供3種不同的參與方式,目前已接受注冊.

1900/1/1 0:00:00
算法穩定幣全線“雪崩”,升級自救后還有機會崛起嗎?_MPL:AMP

本文發布于白話區塊鏈,作者:五火球教主。年初的時候,算法穩定幣的熱潮,來得快,走得也快。二代ESD,仿盤DSD;三代Basis,仿盤Mith、ONS;四代Frax,XUSD等,無一例外Token.

1900/1/1 0:00:00
數字人民幣雙層運營架構有何講究,錢包生態如何建設_數字錢包:數字貨幣被騙過程聊天記錄

在全球央行數字貨幣的賽道上,中國的央行數字貨幣成績亮眼,無論是研究進程還是內測試點工作有一馬當先之勢。據中國人民銀行原行長周小川介紹,DC/EP是一個雙層的研發與試點項目計劃,并非一個支付產品.

1900/1/1 0:00:00
幣安火幣再起爭執,背后是對合規的深切焦慮_ANC:NCE

本文于2020年10月30日首發于鏈捕手公眾號,作者Echo、龔荃宇 一、爭執的緣由與經過 10月30日凌晨.

1900/1/1 0:00:00
探究:韓國明星公鏈Klaytn及行業投資風向_Klaytn:klay幣行情

本文于2020年9月首發于Cointelegraph中文。9月11日,Cointelegraph中文主辦線上訪談欄目HUB旗下視頻對話欄目HUBLIVE第六期,本期主題為《探究韓國明星公鏈Kla.

1900/1/1 0:00:00
ads