2月5日消息,據DeBank數據顯示,DeFi真實鎖倉量突破470億美元,創下歷史新高,本文撰寫時為478.3億美元,約等于3095億人民幣,
2020年被稱為“DeFi元年”,DeFi在Compound首創的 “流動性挖礦”推動下獲得了歷史性的大爆發,然而其安全風險居高不下。臺北時間2月5日凌晨,CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件,攻擊總損失高達約7100萬人民幣,黑客從中獲利約1800萬人民幣,黑客通過閃電貸獲得攻擊啟動資金,利用Yearn項目代碼漏洞,完成整個攻擊,
攻擊者獲利數目截圖
此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易,交易列表如下:
除開3筆轉換代幣交易之外,剩余11筆獲利交易均針對同一個漏洞,使用相同的攻擊方式完成的獲利,攻擊大致流程圖如下:
具體步驟如下:
- 利用閃電貸籌措攻擊所需初始資金,
- 利用 Yearn.Finance 合約中漏洞,反復將 DAI 與 USDT 從 3crv 中存入和取出操作,目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI 與 USDT 從 3crv 中存取操作后,償還閃電貸。
- CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞,更多漏洞細節將在后續分析中進行詳解。
總結
加密世界的交互往往都伴隨著一定的風險,而投資于安全的項目會收到更加長遠的回報,
而高收益必定伴隨著高風險,此次漏洞的爆發同樣是DeFi領域的一個警示。
