区块链:16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件_NCE

DeFi项目Yeld.finance称该项目的DAI池遭受到闪电贷攻击,但成都链安分析称,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。

事件概览

北京时间2021年2月27日,舆情监测到,DeFi知名项目Yeld.finance官方发出通告,表示该项目的DAI池遭受到闪电贷攻击,原文链接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b

成都链安安全团队第一时间介入响应,对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。闪电贷攻击表示不背这个锅。

杭州移动党委书记:要加快企业从“上云”到“上链”:金色财经消息,2020年杭州市政府工作报告上,杭州市人大代表,杭州移动党委书记、总经理王文生表示,打造区块链政务专网助力城市大脑。要加快企业从“上云”到“上链”,参照“企业上云”模式推进“企业上链”,依托于区块链服务网络(BSN),着力打造杭州区块链底层基础设施,促进各个区块链应用之间数据互通,形成一张有价值、跨应用的互链网。打造基于互链网的区块链政务专网(BGI),以“城市大脑”的运营经验和技术积累为基础,结合区块链服务网络(BSN)能力,着力探索打造区块链政务专网(BGI)。[2020/4/26]

事件分析**

声音 | 港媒:从“量子”到“区块链”,中国商家盯上时髦科技词汇:香港《南华早报》网站1月14日刊载题为《为何中国国内在卖“量子内衣”》的报道称,中国的网店里目前充斥着各种自称具备量子技术优点的商品,但这些商品与技术几乎毫无关联。你可以买到融入了量子技术的袜子、量子内衣或一些量子酒精饮料。但是,这并非科技时髦用语首次进入一个模糊不清的领域。最引人注目的例子是区块链技术热。尽管把区块链这一名词强加到任何东西上的冲动已有所消退,但学术界仍在发展区块链技术。[2020/1/15]

图1交易信息

如图1所示,该笔交易是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移,分别用T1到T6表示。那么,这些代币转移究竟是什么操作导致的呢?下面通过代码进行分析:

分析 | 应对Libra可从“有条件地尝试发行锚定人民币的稳定币”等三方面入手:《中国金融》2019年第15期,北京大学数字金融研究中心王靖一和黄益平联合发文《Libra的艰难征程与中国应对》,文章表示,应对当前的Libra,可以先从以下三个方面入手。第一,尽快打破国内外数字金融行业分割的局面,真正构建全面开放的新格局。第二,在监管“沙盒”的框架下有条件地尝试发行锚定人民币的稳定币,助力人民币国际化进程。第三,未雨绸缪,主动考虑一些应对数字货币冲击的策略。[2019/8/7]

图2deposit函数源代码

行情 | 今日恐慌指数为16 为极度恐惧等级:据Alternative消息,今日恐慌指数为16,较昨日20下降4,恐慌程度有所上升,现为极度恐惧等级。[2018/6/30]

很明显,第538行代码,产生导致了序号为T1的代币转移,将token转移到yDAI合约。这是一笔普通的代币转账,表示用户存入了9,377DAI到yDAI合约。

第541-553行代码,是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表示yDAI合约向用户铸了9,306yDAI。

然后进入第555行的rebalance函数,分析该函数的逻辑。

图3rebalance函数源码

图4recommend函数

第732行代码会计算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询结果如图5所示:

图5recommend查询结果

其中dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。

图6_withdrawAll函数源代码

第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币转移,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。

最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。

整个交易就此结束,可以看到,这次所谓的「闪电贷攻击」只是「虚惊一场」。用户只是单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的策略机制,并不是所谓的「闪电贷攻击」,可谓是闹了场「乌龙事件」。

值得注意的是,dYdX在该事件中充当了一个「良心商家」的角色,并不是以往闪电贷攻击中的帮凶。

安全建议

尽管本次事件经成都链安安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击加以预警和防范。

同时,作为致力于区块链生态安全建设的成都链安也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建覆盖全生命周期的一站式安全解决方案方为万全之策。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-5:840ms