DAO:Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_EARN

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

Tether已凍結Yearn被黑客竊取的170萬USDT:金色財經報道，Bitfinex及Tether首席技術官Paolo Ardoino剛剛發推文稱，Tether已凍結了Yearn DAI v1 vault被黑客竊取的170萬USDT。[2021/2/6 19:01:48]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

YFI社區已通過回購和重建Yearn提案:1月20日早間，Yearn.finance （YFI） 核心開發者banteg發推宣布，“回購和重建Yearn”的提案已以99.44%的支持率獲得通過。根據官方此前公布的信息，該提案具體內容是：1.使用YFI質押獎勵在公開市場上回購YFI，并將回購的YFI用于貢獻者獎勵和其他Yearn活動。2.撤消YFI治理金庫（yGov），使其不再起作用。3.即使在其他地方使用YFI代幣時也允許參與YFI治理（如在SushiSwap中提供流動性）。[2021/1/20 16:34:48]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

yearn.finance：yDAO已經創建:8月9日消息，DeFi聚合收益協議yearn.finance發推稱，yDAO已經創建。根據DeFi Rate編輯Cooper Turley的描述，本著可持續發展的精神，yDAO社區資助被用于資助對yEarn生態系統的增值貢獻。任何人都可以申請與yEarn相關任務的資金。以1份= 0.1 YFI的基本利率向任何人開放。yDAO使用DAOhaus和MolochV2標準構建；專注于資助項目，而不是協議級治理。

yDAO被用來匯集DAI和YFI，作為已知社區成員根據情緒和影響投票決定資金分配的可信儲備。DAO可能資助的工作類型包括智能合約審核、UI升級、基于yToken的產品、內容創建、YIP獎金等。DAO不會資助的類型包括過于雄心勃勃的想法，幾乎沒有經過深思熟慮的行動計劃；YFI分叉；交易所上線以及場外交易。[2020/8/9]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：EARNYEAYFIDAOYearn LandYearn Finance Dotyfi幣最新消息GEMDAO

UNI