一、事件概覽
北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?
成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。
Open Campus:今日向Binance轉入的416萬枚EDU將用于提供流動性:5月30日消息,Web3 教育協議 Open Campus 針對今日早些時候將解鎖的約 416 萬枚 EDU 轉入 Binance 一事發文表示,根據公布的歸屬時間表,目前已解鎖 2100 萬枚 EDU,錢包中仍有 1700 萬枚 EDU 尚未移動或出售,400 萬枚已于今天早間轉移至 Binance 用于提供流動性。[2023/5/30 11:48:46]
二、事件分析
△圖1?交易信息
過去24小時全網爆倉8385.16萬美元:金色財經報道,數字貨幣全網合約爆倉數據顯示,過去24小時全網爆倉8385.16萬美元。其中比特幣爆倉2380.73萬美元,以太坊爆倉1292.43萬美元。[2023/2/20 12:16:55]
如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:
數據:馬斯克連續賣出88億美元約816萬股特斯拉股票,已達10%目標的一半:11月17日消息,據Marketwatch報道,馬斯克周二連續第七天出售了大量特斯拉公司的股票。根據提交給美國證券交易委員會的文件,馬斯克于周二以約 9.73 億美元的價格出售了超過 93.4 萬股特斯拉股票。在此之前,馬斯克周一出售了 9.3 億美元的股票。自11月8日以來,馬斯克總共以 88 億美元的價格出售了約 816 萬股股票,已經達到其出售 10% 特斯拉股票的目標的一半。此前消息,特斯拉首席執行官埃隆馬斯克在推特中發起投票,最近有很多人認為未實現的收益是一種避稅的手段,所以我建議出售我的特斯拉股票的10%。你支持這樣做嗎?Microstrategy CEO回復馬斯克,可以考慮購買250億美元的BTC。[2021/11/17 6:56:11]
△圖2?deposit函數源代碼
觀點:加密貨幣交易量達16萬億美元,已超越FAANG年交易量:8月11日消,據Ark Investment Management 分析師 Yassine Elmandjra在推特上表示,加密貨幣交易已經超越FAANG年交易量。FAANG是指Facebook、蘋果(Apple)、亞馬遜(Amazon)、Netflix 和谷歌(Google),這五大科技巨頭在公開股票市場的年交易量約為12萬億美元,而加密貨幣在 2020 年和 2021 年產生了超過 16 萬億美元的交易量。2021年,加密市場交易量呈現爆發式增長,以Coinbase最近發布的二季度報告顯示,當季該公司交易量達到4600億美元。[2021/8/11 1:49:00]
很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。
第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。
然后進入第555行的rebalance函數,分析該函數的邏輯。
△圖3?rebalance函數源碼
△圖4?recommend函數
第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:
△圖5?recommend查詢結果
其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。
△圖6?_withdrawAll函數源代碼
第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。
最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。
整個交易就此結束,可以看到,這次所謂的“閃電貸攻擊”只是虛驚一場。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的“閃電貸攻擊”,可謂是鬧了場烏龍事件。
值得注意的是,dYdX在該事件中充當了一個“良心商家”的角色,并不是以往閃電貸攻擊中的幫兇。
三、安全建議
盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。
同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。
Tags:DAINCEANC馬斯克MEDAI價格Lemur FinancePovo Finance馬斯克最近買shib幣
尊敬的LOEx用戶:應項目方要求,LOEx國際站將于2021年2月28日14:19起取消AIC/USDT交易對每日漲跌幅機制,用戶可自由交易.
1900/1/1 0:00:00幣海引路人:BTC/ETH多空來回廝殺短線來回操作收獲滿滿行情走勢莫測,就像未卜是人生,總有跌宕起伏的時候,交易如同攀爬,只有登上絕頂,才能享受奇觀勝景;若遇難而退,中途放棄.
1900/1/1 0:00:00隔日弱勢震蕩下行了一天的之后尾段迎來一波強勢的反彈,盤中自跌破45000關口關鍵支撐價格順勢下探43000關口,離我們的預期目標41000-40000僅一步之遙.
1900/1/1 0:00:00尊敬的XMEX用戶: 為維護合約市場公正性和穩定性,提升合約用戶的交易體驗,XMEX將于3月4日17:00對USDT永續合約交易對“基礎風險限額”與“風險限額遞增額”兩項參數進行調整.
1900/1/1 0:00:00今天市場不好,比特傻沒啥操作,在等待,并且和各路高手交流對市場的看法。閑來之余,看看經濟學家溫鐵軍教授的思考。溫老有良心,言談之余讓人感受到溫暖和善意。他的很多思考是對自由主義經濟學的補充.
1900/1/1 0:00:00數字貨幣可以認為是一種基于節點網絡和數字加密算法的虛擬貨幣。去中心化的數字貨幣沒有發行主體,因此沒有任何人或機構能夠控制它的發行,如比特幣,以太坊等;由于算法解的數量確定,所以數字貨幣的總量固定.
1900/1/1 0:00:00