"2月5日,YearnFinancev1版本的yDAI機槍池漏洞被利用,損失1100萬美元,該名攻擊者總共獲得51.3萬DAI、170萬USDT和50.6萬3CRV,大約280萬美元。目前團隊正在針對此次事件進行調查,暫時禁用了在機槍池存入v1DAI、TUSD、USDC、USDT功能。"
2月5日凌晨5點左右,yearn官方在推特上表示,
“我們已經注意到yearnv1yDAI機槍池出現了一個漏洞。該漏洞已得到緩解。之后將發布漏洞報告。”
DeFi收益聚合器Yearn針對v3版本發起黑客公開挑戰計劃:7月26日消息,DeFi 收益聚合器 Yearn 在社交媒體上發文表示,其 v3 版本已經經過多次審核和內部審查,即日起將發起黑客挑戰計劃,若黑客能成功從 Yearn v3 Vault 中獲取資金,Yearn 將不予追究。[2023/7/26 15:58:43]
Yearn核心開發者banteg隨后發布信息表示,
“YearnDAIv1機槍池被黑客攻擊,攻擊者已獲得280萬美元,整個機槍池損失了1100萬美元。在我們調查期間,針對v1DAI,TUSD,USDC,USDT機槍池的策略存款將會被禁用。”
yearn.finance宣布正在將crvSAAVE等多個保管庫從v1遷移到v2:據官方消息,yearn.finance宣布,正在將crvSAAVE,yCRV,y3CRV,crvCOMP,crvSBTC,crvRENBTC,crvHBTC,crvTBTC,crvBBTC,crvPBTC,crvYBUSD和crvGUSD從v1遷移到v2。在限定時間內,將免除于遷移相關的取款費用。[2021/5/15 22:05:46]
Yearn.finance已啟動安全審核平臺yAcademy:11月12日,Yearn.finance官方發布協議治理進展。內容顯示,Yearn.finance已部署YIP-53提案,已啟動安全平臺yAcademy。該平臺主要負責審核Yearn的合約。[2020/11/12 12:23:40]
banteg還表示,yearn團隊對這次攻擊的應對反應迅速,從發現到實施緩解總共用時10分鐘14秒,將原本可能導致3500萬美元損失降低到1100萬美元。
在這次漏洞攻擊中,攻擊者拿走了280萬美元,而另外超過300萬美元資金流向了Curve質押者。
黑客攻擊手法
TheBlock研究分析師IgorIgamberdiev表示,攻擊者在這次漏洞中總共執行了11個步驟。
1/通過閃電貸從dYdX借來11.6萬ETH
2/通過閃電貸從Aavev2借來9.9萬ETH
3/使用ETH作為抵押品借入1340萬USDC和1290萬DAI
4/在3crvCurve池中添加1340萬USDC和360萬DAI
5/從3crvCurve池中提取1.65億USDT
6/以下操作重復5次:
-將930萬DAI存入yDAI機槍池
-將1650萬USDT添加到3crv池中
-從yDAI機槍池中提取920萬DAI
-從3crv池中提取1.65億USDT
7/最后一次取款3900萬DAI和1.34億USDC,而不是USDT
8/償還Compound借貸
9/償還閃電貸
攻擊者每次重復操作的時候就會擁有更多3crv代幣,然后將其兌換為穩定幣。有意思的是,竟然使用了這么多次閃電貸。預計會有新的關于閃電貸的演講文章會很快發布。
截止目前,yearn還未發布關于這次攻擊的詳細漏洞報告,具體資金流向還不清楚。
Tags:CRVEARNYEAUSDcrv幣價格Yearn Compounding veCRV yVaultyearn.financePieDAO USD
太和觀察丨簡述Dex現有問題解決方案 AlongwiththeincreasingtrendofDexdevelopment,issueslikeimpermanentloss.
1900/1/1 0:00:00DeFi的魅力在于,它總能給人意料之外的事情。DeFi正在不斷地開疆拓土。從藍狐筆記的觀察來看,DeFi一開始是傳統金融的平行世界,但它又像是黑洞,引力越來越大,最終重塑未來人們的金融交互模式.
1900/1/1 0:00:00本文來自U.Today,作者:YuriMolchanOdaily星球日報譯者|余順遂Ripple發布2020年第四季度?XRP?市場季度報告.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:607.07億美元 市值前十幣種漲跌幅,金色財經制圖,數據來源Coingecko2.過去24小時去中心化交易所的交易量:26.6億美元 交易量排名前十的DEX數.
1900/1/1 0:00:00狂人本著負責,專注,誠懇的態度用心寫每一篇分析文章,特點鮮明,不做作,不浮夸!本內容中的信息及數據來源于公開可獲得資料,力求準確可靠,但對信息的準確性及完整性不做任何保證,本內容不構成投資建議.
1900/1/1 0:00:00本周,特斯拉購入15億美元比特幣,數字資產管理公司Grayscale認為這可能會引發其他大公司紛紛效仿,不過摩根大通卻并不認同這一觀點.
1900/1/1 0:00:00