CER:CertiK：Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末_ANC

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。攻擊者獲利數目截圖

Balancer社區發起關于將BAL分配給AAVE/WETH質押者的投票:據官方推特消息，Balancer社區正發起關于將BAL分配給AAVE/WETH質押者的投票。鑒于安全模塊的重要性，Aave需要更多時間將其池遷移到Balancer v2。為了保持池在v2流動性挖礦開始之前每周收到的12,500 BAL的分配，需要授權將BAL分配到v1上的80/20 AAVE/WETH池。[2021/6/19 23:48:54]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

DeFi跨鏈永續合約平臺YFX.COM將于今日18:00在Balancer進行LBP:據官方最新消息，跨鏈去中心化永續合約平臺YFX.COM將于5月7日18:00在Balancer進行LBP。任何人均可參與獲取YFX Token，此次LBP將持續48小時，于5月9日 18:00結束。LBP結束后將會開啟DEX交易。

YFX.COM由NGC、SNZ、DFG、LD等機構戰略投資，目前已經完成ETH（layer2）、BSC、Heco、Tron主網以及OKExChain測試網的上線，能提供高達100倍永續合約交易BTC、ETH等資產,多次通過CertiK 智能合約安全審計,實現了衍生品交易的去中心化部署。 YFX.COM創新使用高流動性、低滑點的 QIC-AMM 做市商池交易機制，融合了永續合約交易員期望的 CeFi式杠桿以及 DeFi系統的 AMM 的流動性和簡便性。[2021/5/7 21:33:51]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：具體步驟如下：利用閃電貸籌措攻擊所需初始資金。

Aave上線AMM Market，允許Uniswap和Balancer的流動性提供商使用LP代幣作為抵押品:3月17日消息，去中心化借貸協議 Aave （AAVE）宣布上線 AMM 市場（AMM Market），可以使 Uniswap 和 Balancer 的流動性提供商（LP）可以使用其 LP 代幣作為 Aave 協議的抵押品，未來 Aave 有可能部署更多的 AMM 流動資金池。[2021/3/17 18:51:49]

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：BALCERNCEANCTraders Global BusinessLanceriabalance幣怎么挖Frankenstein Finance

BNB