AND:一文回顧YFI創始人Andre新項目遭黑客攻擊事件_Androttweiler Token

文章來源：matataki

作者：小島美奈子

Mementotehominemesse：謹記你不過只是一個人。——《世界語言簡史》，常被引用的拉丁語名言

這已經不是Andre第一次翻車了，今年早些時候，Andre在剛開始構建yCrv的時候，就發生過一次事故，使得一個早期用戶損失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

這件事件之后，Andre的置頂推文就是那則著名的Disclaimer。

USDC流通量截至5月25日已跌至290億枚附近:5月29日消息，據Circle官網數據，5月18日至5月25日期間，Circle共發行約12億枚USDC，贖回約17億枚USDC，流通量減少約5億枚。截止5月25日，USDC總流通量約為290億枚，資金儲備量為292億美元。[2023/5/29 9:49:01]

而就在本月中旬，YFI的社區項目SAFE也發生了內幕交易，提前買入了大額保單。雖然不是Andre的直接責任，但依然對YFI的社區造成了一定影響。

昨天發生的事故無論是損失金額，還是波及的人數，都比前幾次事故要遠遠嚴重。而且事故原理也更加簡單，簡直可以作為Flashloan的入門教程了。以至于Andre都寫不出像樣的Postmortem來進行說明。

拜登數字資產責任創新型行政命令要求多個機構在9月5日之前提交相關反饋報告:金色財經報道，對喬·拜登關于加密貨幣的行政命令的大部分回應將在勞動節后到期。預計財政部和司法部的回應將對美國未來的加密貨幣政策產生特別的影響。根據3月9日的命令，各機構的七份報告應在命令發布后120天內提交給白宮，因此他們的最后期限為9月5日，即勞動節的第二天。

行政命令強調了機構間合作的必要性，但這些命令及其帶頭機構細分如下行政命令強調機構間合作的必要性，但命令及其牽頭機構分解如下：

財政部：關于與美聯儲合作特別感興趣的中央銀行數字貨幣或 CBDC 的報告。

司法部：對國會是否需要制定新法律以發布 CBDC 的法律評估。

美國財政部和主要市場和消費者保護監管機構：關于數字資產在市場和支付中的風險和回報的報告。

科技政策辦公室：一份關于加密貨幣在跨時間跨度能源轉型中的作用的報告。

司法部在財政部和國土安全部的幫助下：執法機構在“檢測、調查和起訴與數字資產相關的犯罪活動”中的作用。

商務部：提高美國在數字資產技術方面的經濟競爭力和利用的框架。（the block）[2022/8/29 12:54:16]

事故原理

Solana流支付協議Zebec與DeFi平臺Hawksight達成合作:8月20日消息，Solana流支付協議Zebec與DeFi平臺Hawksight達成合作，Zebec將提供Treasury Management服務，Hawksight為Zebec提供USDC自動化穩定收益池。[2022/8/20 12:37:07]

Flashloan大家一定已經不陌生了，在今年EtherDenver期間，DeFi項目bZq就曾連續發生數次事故。其中第二次攻擊并不是合約代碼的漏洞，而是利用了合約設計的缺陷——所有合約都按照預定的設計在執行工作，但當這些合約組合時卻形成了無風險套利的可能。因為攻擊者需要在一筆tx內同時完成「借款」和「還款」的操作，因而這種攻擊方法被稱之為閃電貸??。DragonFly的研究員HaseebQureshi就曾撰文，稱這種類型的攻擊將會成為DeFi開發中的「新常態」。

持有1+MATIC的以太坊錢包數量超過40萬個:金色財經報道，據Dune Analytics數據顯示，持有1枚以上MATIC Token的以太坊錢包數量已超過40萬個，本文撰寫時401,215個。此外，當前持有10枚以上MATIC Token的以太坊錢包數量為311,343個，持有100枚以上MATIC Token的以太坊錢包數量為141,876個，持有1000枚以上MATIC的以太坊錢包數量為43,405個。[2022/8/13 12:22:22]

事故合約

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

加密礦企Hive出售約10000個以太坊用來支付英特爾挖礦設備的費用:金色財經報道，加密礦企 Hive Blockchain (HIVE) 出售了大約 10,000 個以太坊 (ETH)，用來支付英特爾 (INTC) 比特幣挖礦設備的費用，因為大多數礦工開始出售他們開采的一些數字資產來支付費用他們的運營成本。該礦企將繼續不時出售以太幣，為公司的長期比特幣（BTC）挖礦目標提供資金。

Hive 表示，由于該公司仍在擴大其以太坊采礦能力，它將尋求在不久的將來取代其出售的以太坊。\u2028Hive 預計將在本月測試英特爾的采礦設備，原型生產預計將在夏末進行，大規模生產計劃于今年秋季推出。Hive 是首批接收英特爾第二代比特幣專用挖礦芯片的礦工之一，該芯片比大多數競爭對手的效率更高。[2022/6/7 4:07:11]

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

我們可以看到黑客一共發起了三次CreateContract操作，并且再得手之后，還還回去一半。

再看一些具體的受害者Case，比如這位老哥花了390個ETH去買EMN，一個小時之后只賣回了1個。

再比如這位推上的老哥@spzcrypto。。。前幾個小時還在轉推@eminencefi的狀態。。下一則推就gotrekt了==。。。。

看上去也根本不像是演的。類似的受害者想必不在少數。

雖然攻擊合約沒有開源。。但是死觀察這些tx的內聯轉賬可知。。。這是一個標準的閃電貸??過程。。。。很容易把攻擊原理還原出來，下面這則thread詳細的描述了攻擊經過：

如果你困惑于黑客是如何成功榨干$EMN合約的，這里是具體的機制。EMN合約允許你用DAI作為儲備金，鑄造EMN。它使用標準的類似Bancor的曲線——DAI被用作EMN的儲備貨幣，EMN代幣的價格由EMN的數量與儲備貨幣中的數量決定。

第二種代幣，eAAVE也類似，但有一個小而重要的不同——它是用EMN作為儲備貨幣，但卻是「虛擬的」——如果你通過向它發送EMN代幣來鑄造eAAVE，而不是將你的EMN存儲在儲備中，eAAVE合約實際上會銷毀EMN。這種相互作用使得攻擊者可以進行以下交易。下面是完整的攻擊過程：

從Uniswap中閃電貸??出15m的DAI。

用你的DAI鑄造盡可能多的EMN。

用一半的EMN鑄造eAAVE。這將消耗EMN，減少總供應量，從而抬高EMN的價格。

以10m的價格賣出你的后一半EMN。

現在賣出你的eAAVE，取回你的前一半EMN，降低EMN的價格。

以6.649m的價格賣回你的前一半EMN。

向Uniswap歸還15m的閃電貸??，享受1.67m的利潤。

重復以上策略三次。

黑客能在如此短的時間里發現合約的漏洞，因而社區猜測也是一次內線作案。雖然說TestinProd是Andre的標準做法。但是今天的Andre頭頂YFI之父的光環，其對社區的影響以不可同日而語。正所謂力量越大責任也越大，發生這樣的事故，Andre本人其實難辭其咎。

后續

YFI的幣價受此事故牽連，昨日大跌16%。

Andre本人也表示收到了許多受害者的私信人身威脅。隨后Andre表示將會永久封存自己使用已久傳奇賬號Yearn.Deployer。并不再使用TwitterShill自己的新項目。

同時Andre也失去了他的左膀右臂。。。YFI社區KOL，第一時間shill并目睹了被駭全過程的@Bluekirby。。。。藍色星之卡比表示自己將從YFI社區中辭職。

截止目前，該事件的影響依然在發酵中。

Tags：DREANDNDR以太坊DrEEEtherlandAndrottweiler Tokenada幣和以太坊幣誰有價值點

比特幣價格