以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

成都鏈安:DeFi項目Yearn Finance閃電貸攻擊事件分析_Curve:CUR

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。二、事件分析

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

成都鏈安:hackerDao項目遭受價格操控攻擊,獲利資金已轉至Tornado.cash:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析,發現攻擊者先從先閃電貸借出2500WBNB,拿出部分WBNB兌換出大量hackerDao,然后將這筆hackerDao發送WBNB/hackerDao;并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時,如果轉賬接收地址是BUSD/hackerDao時,會同步減少發送者的代幣余額以收取手續費,因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少,從而影響該交易對的代幣價格,使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時,獲取額外的收益。目前攻擊者實施了兩次攻擊,總計獲利約200BNB,已經轉至Tornado.cash 。[2022/5/24 3:38:37]

△圖1上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

成都鏈安:BaconProtocol遭受攻擊事件分析:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BaconProtocol遭受黑客攻擊損失約958,166 美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析:1. 本次攻擊利用重入漏洞,并憑借閃電貸擴大收益額。2:目前攻擊者地址還沒有被加入USDC的黑名單中。[2022/3/6 13:40:01]

△圖2這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

QitChain已通過成都鏈安安全審計:據官方消息,分布式搜索引擎項目QitChain已通過區塊鏈安全機構成都鏈安的安全審計。

分布式搜索引擎QitChain是一個基于IPFS的區塊鏈搜索工具,旨在成為Web3.0有效數據信息聚合器,在保障用戶安全隱私的同時帶來更高效、更精準的信息查找。

成都鏈安是領先的區塊鏈安全公司,自成立以來,一直致力于區塊鏈安全的生態建設。[2021/10/25 20:55:41]

△圖3根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣。

△圖4不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

△圖5攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICURCurveACKDAISY價格curve幣價格走勢SBTCCURVE價格QUACKS幣

以太坊交易
灰度投資的7個小幣收益率如何,大機構如何套利?_BTC:中本聰BTCs官網

你好,這里是8分鐘區塊鏈,今天我們接著昨天的節目繼續講,灰度投資的另外7個主流小幣種到底有沒有虧錢? 你打開節目文稿的第一張圖片來看下,你看的時候你最好把這個圖點擊,打開原圖放大了,仔細的看下.

1900/1/1 0:00:00
SBF:在《英雄聯盟》的正義之地,我找到了內心的平靜_SBF:DOGEN

1.在游戲《英雄聯盟》的正義之地里,我找到了內心的平靜。2.大多數時候我都睡在豆袋沙發上,但也時不時回我的公寓。我會來回慢跑,這時我的世界里就只剩下我的思緒和耳機里的音樂作伴.

1900/1/1 0:00:00
波卡不能取代以太坊的理由_KUSA:SAMA幣

編者按:本文來自彩云區塊鏈,Odaily星球日報經授權轉載。近期以來,波卡成為了幣圈的熱門,除了幣價上漲之外,來自波卡和kusama的插槽炒作也是吸引了很多人的眼球,并且波卡的市值也不斷的上升,

1900/1/1 0:00:00
美股韭菜受傷,加密市場或成最大贏家 | 烤仔星選_馬斯克:DOGEBEAR幣

作者|秦曉峰編輯|Mandy出品|Odaily星球日報 狗狗幣漲瘋了。OKEx行情顯示,過去48小時,DOGE從0.00726USDT瘋狂拉升,最高達到0.084USDT,最高漲幅1057%;C.

1900/1/1 0:00:00
Deribit期權市場播報:0201—持倉下降_ABR:Valuedefi vSWAP

因為比特幣月度交割量巨大,交割后持倉量明顯下降。1月份持倉量大有很大程度上是幾個月來的牛市積累,疊加年度大交割的移倉。整個市場分布目前回到了相對均衡的情況,新的行情開始.

1900/1/1 0:00:00
自2017年2月至今比特幣四年內增長了37倍_比特幣:比特幣賣了一億怎么轉回國內

編者按:本文來自彩云區塊鏈,Odaily星球日報經授權轉載。比特幣正處于強大的上升趨勢中,為投資者帶來了比地球上任何其他資產更高的投資回報率.

1900/1/1 0:00:00
ads