加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > ICP > Info

慢霧 : 簡析yearn finance千萬美元閃電貸攻擊事件

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池今日遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC

GoPlus與慢霧提出合約可限時授權EIP提案,以降低遺留授權導致的被盜風險:10月6日消息,安全機構GoPlus與慢霧提出可限時授權的EIP標準,以降低遺留授權導致的被盜風險。標準中提到,包括TransitSwap事件在內,反復發生的資產盜竊是由于用戶對合約的過度授權造成的,如果合約出錯,所有沒有召回授權的用戶都會受到攻擊。

GoPlus與慢霧提出的解決方案可以為ERC-20Token設置Approv,以在默認時間段內自動撤回授權,或者使用自定義的時間限制來召回授權并及時避免風險,并提交了一份新的EIP,目前正在由以太坊研究部門審查。[2022/10/6 18:41:11]

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值

慢霧:nanotron安全審計報告是偽造的:慢霧科技發推表示:團隊并沒有對于nanotron進行審計,項目的安全審計報告是偽造的,請注意防范風險。[2020/10/8]

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。

參考攻擊交易:

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

Tags:DAIUSDSDTSDCDAIQBABYBUSDUSDT幣提現微信PCUSDC幣

ICP
國內首個接受虛擬貨幣捐款的公益公募基金會啟動,Mask Network 提供技術支持_數字人:幣智慧

由綠會青年領軍基金主導的虛擬貨幣捐贈實驗項目已于近日正式啟動測試,將成為國內首個接受虛擬貨幣捐款的公益公募基金會.

1900/1/1 0:00:00
YFI創始人宣布Yearn將與Sushiswap合并,SUSHI價格突破1.7美元_USH:USHIBA價格

律動BlockBeats消息,12月1日,YFI?創始人AC宣布,Yearn將與Sushiswap合并.

1900/1/1 0:00:00
深度丨未來的區塊鏈錢包應該是什么樣?_區塊鏈:鉑鏈幣區塊鏈下載

本文發布于加密谷Live,作者BillyRennekamp,編譯李翰博、Edward。在論壇帖子《作為通用錢包的CosmosHub》中,我提出了用戶和區塊鏈之間的未來主義關系,這涉及到當前Cos.

1900/1/1 0:00:00
DeFi真的能吞噬金融世界嗎?_DEF:Efinity

本文于2020年5月31日發布于巴比特,作者灑脫喜。作者序:軟件在吞噬世界,而DeFi正在吞噬金融世界”,這句話的前半句我們很好理解,那后半句呢?DeFi又是什么?筆者試圖通過自己的學習筆記來進.

1900/1/1 0:00:00
新秩序的邊緣_TAT:BSC Station

本文發布于基本實驗室公眾號,作者為FrankLing。聲明:本文頗多爭議觀點,不帶有任何主觀偏見,請批判閱讀,如有不適,敬請諒解最終,國會山在混亂中宣布了Biden的當選,為2020年的選戰畫上.

1900/1/1 0:00:00
楓葉資本:DeFi新興價值網絡與“華爾街API”_DEFI:defi幣價格漲跌原理

本文發布于火星財經,作者為楓葉資本,經由Bite編譯。自去年七月以來,DeFi結構和用戶心理都發生了巨大變化,推動了一次又一次的創新迭代出現.

1900/1/1 0:00:00
ads