千萬美元損失背后的閃電貸攻擊——yearn finance 被黑簡析_DAI:SDT

2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，以下是慢霧的簡要分析：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH

2.攻擊者使用從第1步借出的ETH在Compound中借出DAI和USDC

3.攻擊者將第2步中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CurveDAI/USDC/USDT的大部分流動性

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/(USDT&USDC;)貶值

Roblox千萬美元投資三款教育游戲，緊盯元宇宙教育市場:11月16日消息，美國在線游戲平臺Roblox周一宣布，將投資1000萬美元開發三款面向初中、高中和大學學生的教育類游戲，把教育視頻游戲植入到學校教育當中。

Roblox首席執行官David Baszucki表示，“我們一直在考慮教育培訓業務。”Roblox資助的三款游戲將于明年發布，不會提供任何虛擬商品出售。[2021/11/16 21:55:10]

5.攻擊者第3步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣

區塊鏈技術公司Cybertino Lab獲千萬美元天使輪融資:據官方消息，近日，區塊鏈技術公司“Cybertino Lab”獲千萬美元天使輪融資，本輪融資由云九資本領投，渶策資本、萬物資本、UpHonest、Hashed、Animoca Brands、Divergence、Draper Dragon等投資機構跟投。融資將用于團隊擴張、產品研發。（36氪）[2021/7/19 1:01:58]

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例提現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中

知情人士：過去三個月，網戀加密詐騙活動騙取香港居民數千萬美元:國際詐騙犯正在結合最常見的兩種網絡詐騙手段——戀愛騙局和虛假投資計劃來作為一種新的策略，并在過去的三個月里騙取了香港居民數千萬美元。內部人士稱，新的騙局使得騙子可以向每個目標榨取更高的金額，促使在周末發起宣傳活動，提醒公眾保持警惕。新的數據顯示，今年前8個月，網戀詐騙案件從去年同期的391起猛增近54%，達到601起，這一趨勢首次引起警隊的注意。今年1月至8月，涉案金額從去年同期的1.496億港元小幅下降至1.436億港元（約合1850萬美元）。一名消息人士稱，最近一個月處理了70至80起愛情詐騙案件，其中約三分之一涉及投資詐騙，害者大多是中年婦女。

據悉，受害者被要求下載一個手機應用程序，該應用程序顯示投資產品（主要是加密貨幣）的價格，以及他們投資賬戶的交易結果。一位消息人士表示：“然而，該應用程序只顯示了網絡貨幣不斷上漲的價格和他們投資賬戶的利潤，因為它是由騙子設立和控制的。”通常情況下，受害者是在試圖取錢時發現自己無法登錄手機應用程序后才意識到自己被騙了。這時，他們的“戀愛對象”就消失了。（南華早報）[2020/10/31 11:18:37]

8.由于第3步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者

X網獲哈希資本、飛馬資本等千萬美金投資:據X網消息，X網獲得哈希資本、飛馬資本、廣和集團、老王資本、滿幣資本等全球知名數字基金千萬美金投資。據哈希資本合伙人葉丁透露，X網用戶突破85萬，屆時X網將升級全新的交易挖礦模式，持有平臺幣OCX、邀請好友等都可以獲得高額收益分紅。[2018/6/19]

9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。

參考攻擊交易：

https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

往期回顧

如何通過恒定乘積黑掉SushiSwap？簡析SushiSwap第二次被攻擊始末

慢霧科技三周年啦！

慢霧助力火幣生態鏈、OKExChain，共同維護生態安全

AToken錢包通過慢霧安全審計

BiKi入駐慢霧區，發布「安全漏洞與威脅情報賞金計劃」

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

__

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9648305.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

盤點零知識證明代表性項目：如何影響和塑造區塊鏈生態系統？

Tags：DAIUSDUSDCSDTCDAI價格usdk幣怎么變成usdtUSDC幣Compound USDT

非小號