CertiK：還原Yearn.Finance被攻擊始末_EFI:Yearnlab

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

研究顯示美聯儲需“大幅”加息 也許得加到6.5％:金色財經報道，一項新的研究顯示，為了遏制通脹，美聯儲官員可能需要把利率上調到高達6.5％。這項研究嚴厲批評美聯儲最初對價格上漲反應遲緩。五位華爾街經濟學家和學者周五在紐約舉行的會議上發表的一篇學術論文中認為，決策者的前景仍然過于樂觀，他們需要讓經濟遭受一些痛苦，才能讓價格得到控制。這份長達55頁的學術論文包括一系列預測美聯儲基準政策利率潛在路徑的模擬分析。這些計算機模型顯示，2023年下半年，利率峰值不是在5.6％，就是在6％，或是6.5％。[2023/2/25 12:28:32]

攻擊者獲利數目截圖

Azuki拍賣了8Golden SkateboardNFT，創歷史最高價:金色財經報道，Azuki 拍賣了8個Golden SkateboardNFT，最低的出價為 200 ETH（261,682.00 美元）。不可替代的代幣可以兌換成實體滑板。受動漫啟發的 avatars 項目中的每款滑板現在都躋身有史以來售出的八款最昂貴的滑板之列。[2022/10/23 16:36:17]

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

花旗：以太坊的合并將對區塊鏈產生多種影響:金色財經報道，花旗在周四的一份研究報告中表示，以太坊區塊鏈計劃的合并，將其從工作量證明(PoW)系統升級為更環保的權益證明(PoS)機制，將產生一系列影響。其中包括降低能源強度，過渡到通貨緊縮的資產，以及\"通過分片實現更可擴展的未來的潛在路線圖\"。報告稱，Merge是網絡五次計劃升級中的第一次，通過減少區塊時間可能只會將交易速度提高10%。然而，它為“Surge”鋪平了道路，這是網絡的下一個計劃升級，并承諾為區塊鏈帶來每秒100,000筆交易(TPS)的能力。花旗表示，從PoW轉換將使整體發行量每年減少4.2%，并且隨著ETH最終變得通貨緊縮，這可能會改善代幣作為價值存儲的情況。（coindesk）[2022/8/5 12:04:46]

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。利用Yearn.Finance合約中漏洞，反復將DAI與?USDT?從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：EFIDEFDEFIYEAParadise DefiKong DefiDeFi Pulse IndexYearnlab

ETH