買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 火星幣 > Info

慢霧 : 簡析yearn finance千萬美元閃電貸攻擊事件

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池今日遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC

慢霧:Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息,慢霧監測顯示,Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產,該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移;第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產;第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI,目前有約3970萬美元的加密資產。

目前慢霧經過梳理后,無法將地址3與其他兩個地址連接起來,但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性

慢霧AML與Go+ Security將針對惡意地址庫數據方面進行合作:金色財經消息,近日,慢霧AML與Go+ Security達成合作,雙方將針對惡意地址庫數據方面進行合作。

根據合作協議,慢霧將向Go+ Security提供AML惡意地址庫中 EVM 代幣的惡意地址數據(主要在 ETH 和 BNB 網絡上),Go+ Security的惡意地址數據也會同步到慢霧的地址庫中。同時,若是惡意地址數據來自慢霧,Go+ Security 會在接口響應中體現數據來源。

Go+ Security作為Web3的“安全數據層”,通過提供開放、無需許可、用戶驅動的安全服務,努力打造“每個人的安全工具”。Go+ Security安全引擎覆蓋多條主鏈,針對加密項目和普通用戶進行多維度風險檢測,打造更安全的加密生態。[2022/6/8 4:11:22]

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。

參考攻擊交易:

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

Tags:DAIUSDCURSDCMIDAI幣USDSP幣YCURVE幣cusdc幣是什么

火星幣
BTC:HashKey:全面解析 DeFi 資產跨鏈現狀與發展趨勢_DEFI

本文發布于HashKeyMe,作者為鄭嘉梁,HashKeyCapital研究總監。資產跨鏈隨著DeFi的發展逐步打開隱藏屬性,真正的跨鏈還沒有成型,但是錨定資產這類「半跨鏈」模式已經在DeFi領.

1900/1/1 0:00:00
TOK:鄒傳偉:萬字說透 DeFi 基礎模塊與風險分析框架_Whey Token

本文于2020年5月19日首發于PlatON公眾號,作者是PlatON、萬向區塊鏈首席經濟學家鄒傳偉,作者感謝楊民道和謝晗劍的修改意見。DeFi存在豐富的拓撲結構.

1900/1/1 0:00:00
SHI:Sushiswap vs Uniswap:DeFi協議之戰的黎明_USH

本文發布于Coinbaseblog,作者JustinMart,并由鏈得得編譯,譯者Shirley.

1900/1/1 0:00:00
TOKE:央行工作論文:區塊鏈能做什么、不能做什么?_加密貨幣

本文于2018年11月6日首發于中國人民銀行官網,并經星球日報整理。2018年11月6日下午,中國人民銀行發布工作論文《區塊鏈能做什么、不能做什么?》,主要從經濟學角度研究了區塊鏈能做什么、不能.

1900/1/1 0:00:00
TER:Twitter首席執行官呼吁政府當局暫停通過FinCEN加密法規_Bittrex

鏈捕手消息,據俄羅斯衛星通訊社1月29日報道,近日Twitter首席執行官JackDorsey發文督促美國政府當局不要通過FinCEN擬議的加密錢包規則.

1900/1/1 0:00:00
數字貨幣:數字人民幣試點調查:蘇州試水雙離線支付,香港欲打通跨境支付閉環_數字人民幣怎么把錢轉到銀行卡要手續費嗎

本文發布于21世紀經濟報道,作者陳植。隨著央行法定數字人民幣試點步伐提速,越來越多地方政府都在積極爭取數字人民幣試點.

1900/1/1 0:00:00
ads