一、事件概覽
北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。
簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。
二、事件分析
BLS CEO Alexey:通過區塊鏈技術建立一個全方位體育生態系統:據官方消息,2021年9月16日Blocsport.one首席執行官Alexey做客XT直播間,與XT AMA專欄主持人Joyce在XT官方英文群以及中文群內進行了在線AMA活動。
在談及發展計劃時Alexey表示:“在Web 3.0和物聯網解決方案的基礎上,我們將建立一個全方位體育加速器生態系統。并且,我們還推出了獨家體育NFT市場和第一個體育新星系列,來縮小體育人才和粉絲之間的市場差距。此外,Blocsport.one也將專注于美國市場中的各種機遇。我們希望通過區塊鏈技術,建立一個透明可靠的體育生態系統。”
XT是一家社交化交易平臺。[2021/9/16 23:29:39]
1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:
鏈上ChainUP WaaS聯盟為Datahighway(DHX)提供全方位托管服務:據官方消息,鏈上ChainUP WaaS聯盟宣布與Datahighway(DHX)達成深度戰略合作,為DHX提供全方位的WaaS聯盟托管服務,包含主鏈技術開發維護、錢包資產托管、云節點服務等等,雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。
Datahighway(DHX)是波卡生態官方builder孵化的物聯網項目,西湖Westlake主網于4月9日上線。Datahighway(DHX)已于4月13日今天上線BiKi。
鏈上ChainUP WaaS聯盟作為數字資產托管及金融服務平臺,是鏈上集團依托3年時間所服務的600多家企業客戶技術服務經驗,提供錢包資產托管、云節點服務、主鏈定制開發、熱門幣種一鍵接入、共管錢包、金融衍生品等多種功能服務,聯盟內部企業轉賬 0手續費、實時轉帳。目前已有超過500家企業加入鏈上ChainUP WaaS聯盟。[2021/4/13 20:14:22]
動態 | 中國聯通結合區塊鏈等技術實現全方位智慧工地管理:在復工復產大潮中,中國聯通正發揮獨特的創新技術優勢,利用5G、大數據、云網融合、云計算等新技術,結合數據一點集中優勢,推動重大項目復工復產。其中,中國聯通與中國建筑集團打造的位于亦莊經濟技術開發區的“5G智慧工地”項目。“5G智慧工地”項目實現了多項突破:運用“一通多能四驅動”架構,采用定制化5G網絡,圍繞人、機、料、法、環、測等施工管理,實行5G實名制雙防監管系統、5G雙360度空間立體實時監控系統、5G智慧信息島、多維安全監控系、5G作業面監管系統統、5G+智慧圖紙技術等大量功能,同時結合了人工智能、區塊鏈、云計算加邊緣計算、大數據等技術,開啟多項創新應用,實現全方位智慧工地管理。(新華網)[2020/2/19]
上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。
聲音 | 火幣大學于佳寧:產業區塊鏈將在2020年全面落地,引發社會經濟全方位變革:12月28日,在區塊鏈技術應用與發展主題座談會上,火幣大學校長于佳寧表示,技術的價值要通過切實幫助產業轉型升級、提質增效體現出來,給產業帶來的價值增量才是技術的價值。產業區塊鏈將在2020年全面落地,引發社會經濟全方位變革。他表示,未來區塊鏈將成為交易中的一部分,成為一種新的信任要素,這將對價值鏈上的傳統行業帶來重大改變。于佳寧認為,區塊鏈不僅僅是一項技術,“區塊鏈+”也不僅僅是“技術+”,它更是商業模式、組織形態,甚至思維方式的全方位變革。區塊鏈思維是一種互聯網思維、金融思維和產業思維的融合。隨著5G的到來,區塊鏈與其他技術結合給產業帶來的生產率提升不是10倍,而是100倍。[2019/12/29]
2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:
這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。
3.攻擊者取出yValut合約中存入的DAI,如下圖所示:
根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。
4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣.
?
不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。
經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。
這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。
這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:
攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。
而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。
三、安全建議
針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。
在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。
Tags:DAI區塊鏈CurveCURDailySwap Token區塊鏈dapp開發合法嗎curve幣最新消息Global Trading Xenocurrency
灰度報告:Q4約有33億美元流入2021年加密市場將有六大趨勢 區塊鏈情報速遞pro 剛剛 25 美東時間2021年2月2日,灰度投資公司在推特發布其2020年Q4投資報告.
1900/1/1 0:00:00移動支付網訊:數字人民幣可視卡又有新進展!2月5日,湖南和順石油濱水加油站工行數字人民幣“可視卡”亮相!和順石油作為湖南省加油站場景“數字人民幣”首發站.
1900/1/1 0:00:00主要財經刊物Investing.com高級金融分析師JesseCohen表示,在主流應用越來越多的情況下,比特幣很可能在2021年達到6萬美元.
1900/1/1 0:00:00根據來自非小號的數據顯示,截止發稿前24小時全市場主要虛擬幣上漲家數占比63.33%,明顯多于下跌家數占比的36.67%,說明市場短期情緒依然偏向樂觀.
1900/1/1 0:00:00灰度已經為YearnFinance信托注冊了一家有限責任公司,這是這家資產管理公司正在考慮采用DeFi代幣的第一個跡象。新的YFI實體于2021年2月10日在特拉華州注冊成立為法定信托.
1900/1/1 0:00:00本文由火幣研究院原創,授權金色財經首發。因篇幅較長特分為上、中、下三部分。火幣研究院:全球區塊鏈產業全景與趨勢火幣研究院:全球區塊鏈產業全景與趨勢 第五章監管政策回顧 2020年全球區塊鏈得到了.
1900/1/1 0:00:00