2月5日消息,据DeBank数据显示,DeFi真实锁仓量突破470亿美元,创下历史新高,本文撰写时为478.3亿美元,约等于3095亿人民币。
Yearn将通过Gnosis拍卖回购30万USDC的YFI:yearn.finance宣布将进行一场Gnosis拍卖,从市场上回购额外的YFI。yearn.finance将以4.5万美元/枚以下的价格回购价值30万USDC的YFI。[2021/4/15 20:21:33]
2020年被称为“DeFi元年”,DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发,然而其安全风险居高不下。
SushiSwap开启投票表决Yearn和Sushi合作相关的两项提案:12月2日,SushiChef官方宣布,社区已开启最新两项提案投票。两项提案分别为:1.添加和参与Yearn财政建设,具体代币分配比例为60% SUSHI、20% USDC + DAI、10% ETH、5% YFI,以及5% BTC (tBTC-renBTC-wBTC)。2.针对Yearn和Sushi合作设定永久菜单(menu)。具体而言,Keep3r/ETH池将被添加到永久菜单,类似于REN/ETH 、CRV/ETH,只要是金库中的币种均可选择进行配对。若提案通过将通知核心开发者,并由Sushiswap团队实施。该提案适用于48小时的时间锁。[2020/12/2 22:53:01]
北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1800万人民币。
YFI ( yearn.finance) 突破29428美元,最高涨幅91.13%:据Gate.io行情显示,交易对YFI/ USDT币价持续上涨,今日突破29428美元,24H涨幅最高达91.13%,当前涨幅19.89%;24H最高价33999.99美元,当前报价28857.14美元。据悉,YFI / USDT交易于7月30日14:00在Gate.io正式上线[2020/8/30]
黑客通过闪电贷获得攻击启动资金,利用Yearn项目代码漏洞,完成整个攻击。
攻击者获利数目截图
此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易,交易列表如下:
除开3笔转换代币交易之外,剩余11笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。
攻击大致流程图如下:
具体步骤如下:
利用闪电贷筹措攻击所需初始资金。
利用Yearn.Finance合约中漏洞,反复将DAI与USDT从3crv中存入和取出操作,目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。
完成5次重复的DAI与USDT从3crv中存取操作后,偿还闪电贷。
CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞,更多漏洞细节将在后续分析中进行详解。
总结
加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。
而高收益必定伴随着高风险,此次漏洞的爆发同样是DeFi领域的一个警示。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。