以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > LTC > Info

一文回顧YFI創始人Andre新項目遭黑客攻擊事件_DRE:AND

Author:

Time:1900/1/1 0:00:00

文章來源:matataki

作者:小島美奈子

Mementotehominemesse:謹記你不過只是一個人。——《世界語言簡史》,常被引用的拉丁語名言

這已經不是Andre第一次翻車了,今年早些時候,Andre在剛開始構建yCrv的時候,就發生過一次事故,使得一個早期用戶損失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

這件事件之后,Andre的置頂推文就是那則著名的Disclaimer。

摩根大通:Ripple案將為加密貨幣是否構成證券提供法律明確性和辯護:金色財經報道,摩根大通周五在一份研究報告中寫道,美國南區法院部分支持支付網絡 Ripple 的裁決代表著加密貨幣行業的一次里程碑式的勝利。它就什么構成和不構成證券提供了法律明確性和辯護,總體結果有利于業內許多人一直爭論的問題。[2023/7/15 10:56:23]

而就在本月中旬,YFI的社區項目SAFE也發生了內幕交易,提前買入了大額保單。雖然不是Andre的直接責任,但依然對YFI的社區造成了一定影響。

昨天發生的事故無論是損失金額,還是波及的人數,都比前幾次事故要遠遠嚴重。而且事故原理也更加簡單,簡直可以作為Flashloan的入門教程了。以至于Andre都寫不出像樣的Postmortem來進行說明。

Theta Explorer將于4月13日進行服務器升級:金色財經報道,Theta Explorer將于4月13日凌晨3點進行服務器升級,預計停機約一個小時,不超過3小時。升級完成后會進行官方通知。[2023/4/12 13:57:38]

事故原理

Flashloan大家一定已經不陌生了,在今年EtherDenver期間,DeFi項目bZq就曾連續發生數次事故。其中第二次攻擊并不是合約代碼的漏洞,而是利用了合約設計的缺陷——所有合約都按照預定的設計在執行工作,但當這些合約組合時卻形成了無風險套利的可能。因為攻擊者需要在一筆tx內同時完成「借款」和「還款」的操作,因而這種攻擊方法被稱之為閃電貸??。DragonFly的研究員HaseebQureshi就曾撰文,稱這種類型的攻擊將會成為DeFi開發中的「新常態」。

瑞信CEO:硅谷銀行信用風險敞口不大:金色財經報道,瑞信CEO:硅谷銀行信用風險敞口不大。瑞信CEO表示該行將裁員8%。

行情顯示,瑞士信貸(CS.N)盤前走低,跌幅擴大至5.5%。[2023/3/14 13:03:17]

事故合約

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

CoinShares:上上周數字資產投資產品凈流入數據修正為3.43億美元:7月26日消息,據CoinShares報告顯示,上上周數字資產投資產品凈流入經修正后達3.43億美元,創下2021年11月以來單周資金流入量新高,其中比特幣和以太坊投資產品分別凈流入2.06億美元及1.2億美元,并分別創下了2022年5月以及2021年6月以來的單周最高資金流入量。

上周數字資產投資產品凈流入2960萬美元,其中比特幣投資產品凈流入1900萬美元,以太坊投資產品凈流入810萬美元,做空比特幣的投資產品凈流入60萬美元。[2022/7/26 2:38:44]

我們可以看到黑客一共發起了三次CreateContract操作,并且再得手之后,還還回去一半。

再看一些具體的受害者Case,比如這位老哥花了390個ETH去買EMN,一個小時之后只賣回了1個。

DeFi協議總鎖倉量跌至750.56億美元,近24小時內跌超5%:金色財經消息,據Defi Llama數據顯示,DeFi協議總鎖倉量(TVL)跌至750.56億美元,近24小時跌幅為5.32%。[2022/6/18 4:35:57]

再比如這位推上的老哥@spzcrypto。。。前幾個小時還在轉推@eminencefi的狀態。。下一則推就gotrekt了==。。。。

看上去也根本不像是演的。類似的受害者想必不在少數。

雖然攻擊合約沒有開源。。但是死觀察這些tx的內聯轉賬可知。。。這是一個標準的閃電貸??過程。。。。很容易把攻擊原理還原出來,下面這則thread詳細的描述了攻擊經過:

如果你困惑于黑客是如何成功榨干$EMN合約的,這里是具體的機制。EMN合約允許你用DAI作為儲備金,鑄造EMN。它使用標準的類似Bancor的曲線——DAI被用作EMN的儲備貨幣,EMN代幣的價格由EMN的數量與儲備貨幣中的數量決定。

第二種代幣,eAAVE也類似,但有一個小而重要的不同——它是用EMN作為儲備貨幣,但卻是「虛擬的」——如果你通過向它發送EMN代幣來鑄造eAAVE,而不是將你的EMN存儲在儲備中,eAAVE合約實際上會銷毀EMN。這種相互作用使得攻擊者可以進行以下交易。下面是完整的攻擊過程:

從Uniswap中閃電貸??出15m的DAI。

用你的DAI鑄造盡可能多的EMN。

用一半的EMN鑄造eAAVE。這將消耗EMN,減少總供應量,從而抬高EMN的價格。

以10m的價格賣出你的后一半EMN。

現在賣出你的eAAVE,取回你的前一半EMN,降低EMN的價格。

以6.649m的價格賣回你的前一半EMN。

向Uniswap歸還15m的閃電貸??,享受1.67m的利潤。

重復以上策略三次。

黑客能在如此短的時間里發現合約的漏洞,因而社區猜測也是一次內線作案。雖然說TestinProd是Andre的標準做法。但是今天的Andre頭頂YFI之父的光環,其對社區的影響以不可同日而語。正所謂力量越大責任也越大,發生這樣的事故,Andre本人其實難辭其咎。

后續

YFI的幣價受此事故牽連,昨日大跌16%。

Andre本人也表示收到了許多受害者的私信人身威脅。隨后Andre表示將會永久封存自己使用已久傳奇賬號Yearn.Deployer。并不再使用TwitterShill自己的新項目。

同時Andre也失去了他的左膀右臂。。。YFI社區KOL,第一時間shill并目睹了被駭全過程的@Bluekirby。。。。藍色星之卡比表示自己將從YFI社區中辭職。

截止目前,該事件的影響依然在發酵中。

Tags:DRENDRANDTHEDream Soccerrndr幣今日行情ANDY男生用ethereal當網名什么寓意

LTC
比特幣行情大幅跳水,空頭趨勢順勢操作   _比特幣:比特幣交易所清算地圖

今日快訊: Coinhills數據顯示,當前比特幣兌法幣交易占比中美元占比升至76.23%,仍排名第一;排名第二為日元,占比為17.29%;歐元排名第三.

1900/1/1 0:00:00
香港:金融科技及加密貨幣中心_區塊鏈:加密貨幣

香港被認為是世界上最好的金融科技中心之一,一直位列全球金融科技報告的前十名。香港是至少8家估值超過10億美元的初創企業的所在地,包括Airwallex、TNG、WeLab、Lalamove、Go.

1900/1/1 0:00:00
更多信息浮出水面 數字人民幣影響幾何?_ETC:tcp幣和比特幣一樣嗎

數字人民幣正在內部封閉測試,引發關注。最近,又有多個有關數字人民幣的信息浮出水面:北京提出建設數字貨幣試驗區,央行數字貨幣研究所與京東數科達成戰略合作,央行副行長范一飛撰文“回應”多個市場關注點.

1900/1/1 0:00:00
觀察|ETC的抗51%攻擊安全方案MESS將于明日激活_ETC:Nakamoto Games

據官方消息,由ETCLabs和ETCCore團隊提出的名為MESS的可防止51%攻擊的ETC安全方案將在區塊高度11,295,300處激活,根據目前出塊時間估算大約在北京時間9月28日23點.

1900/1/1 0:00:00
DeFi網紅變色記:Blue Kirby如何從萬人迷到萬人嫌?_YFI:Blue Whale Token

這位Twitter網紅如何從社區寵兒變為萬人唾棄的故事。撰文:AnthonySassano,TheDailyGwei創始人,EthHub聯合創始人曾經廣受歡迎?yEarn/YFI?頭號粉絲、Tw.

1900/1/1 0:00:00
為什么說2020年是期權元年?_數字貨幣:數字貨幣背后的七大陰謀

9月29日下午,Deribit亞洲商務負責人LinChen和火車頭資本、行情分析師?Andy,做客鏈節點直播間,分享他們對于數字貨幣期權當前發展的看法和未來展望.

1900/1/1 0:00:00
ads