CRV:首發 | Yearn.Finance驚爆漏洞 DeFi再遭打擊 一文帶你探明事件始末_USDT

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

Revolut：暫停美國加密服務僅影響該公司在全球不到1%的加密貨幣客戶:8月4日消息，Revolut 發言人針對該公司將暫停在美國的加密貨幣服務回應稱，這一決定不會影響 Revolut 在美國以外的客戶，僅影響該公司在全球不到 1% 的加密貨幣客戶。所有其他市場的 Revolut 客戶可以繼續注冊并使用該平臺的加密服務。[2023/8/4 16:18:53]

序號

交易目的

交易獲利

1

利用漏洞獲利

3Crv:349852,USDT:11305

2

利用漏洞獲利

ConsenSys宣布創建以太坊氣候平臺 (ECP):金色財經報道，ConsenSys和Allinfra召集的一組Web3公司與民間社會領袖以及UNFCCC氣候創新中心一起宣布創建以太坊氣候平臺 (ECP)。

這些項目將減少溫室氣體排放并在未來很長一段時間內產生積極的環境和社會影響。平臺啟動團隊的創始成員包括：AAVE、Art Blocks、Celo、CodeGreen.Org、Enterprise Ethereum Alliance (EEA)、ERM、Filecoin Green、Gitcoin、全球區塊鏈商業委員會 (GBBC)、Huobi Global、Laser Digital (Nomura) 、Microsoft、Polygon、The Climate Collective、UPC Capital Ventures 和 W3bcloud，與 Gold Standard 合作。[2022/11/18 13:19:04]

3Crv:316814,USDT:11833

郭明錤：臺積電將獨家供應高通5G旗艦芯片:7月14日消息，分析師郭明錤在社交平臺表示，“我的最新調查顯示，臺積電將是高通在2023年和2024年5G旗艦芯片的獨家供應商，這對兩家公司來說，是一個超級雙贏局面。”

?按照高通的規劃，2023年與2024年將迭代幾款驍龍8、驍龍8+5G旗艦芯片。從驍龍8+Gen1芯片開始，高通開始采用臺積電工藝生產5G旗艦芯片。高通驍龍8Gen2是驍龍8Gen1的繼任者，預計將在今年11月發布，將由臺積電代工，可能依然采用4nm制程。?（財聯社）[2022/7/14 2:12:09]

3

利用漏洞獲利

3Crv:287544,USDT:11818

4

利用漏洞獲利

3Crv:258554,USDT:11761

5

利用漏洞獲利

3Crv:276366,USDT:11472

6

利用漏洞獲利

3Crv:249387,USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,2603Crv轉換為878,188?USDT

8

利用漏洞獲利

3Crv:226448,USDT:11242

9

利用漏洞獲利

3Crv:198877,USDT:12302

10

利用漏洞獲利

3Crv:172524,USDT:11987

11

將當前交易獲得的3Crv剩余總量的一半轉換為USDT獲利

733,5553Crv轉換為742,042USDT?

12

利用漏洞獲利

3Crv:152217,USDT:11570

13

利用漏洞獲利

3Crv:127856,USDT:11017

14

將剩余所有3Crv轉換為DAI獲利

506,814Crv轉換為513,356DAI??

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

安全建議

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

CertiK建議：

完備的安全保障=安全審計+實時檢測+資產保障

來源：金色財經

Tags：CRV3CRVUSDUSDTcrv幣漲不起來的原因3CRV價格PUSDbtc價格今日行情usdt

Ethereum