Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_YEA:PlumCake Finance

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

外媒：Yearn黑客在攻擊過程中償還了Aave V1版本用戶的USDT債務:4月14日消息，Yearn攻擊事件的不同之處在于，部分用戶沒有遭遇損失，反而賺了。前Aave集成負責人Marc Zeller表示，這是因為攻擊者使用了閃電貸攻擊的方式，并在此過程中償還了Aave V1版本用戶的USDT債務。

在4月12日，也就是該攻擊事件發生的前一天，Aave V1協議的USDT借貸池中27%被借出，但截至發稿時，Aave v1協議上借出的USDT金額現在為0美元。根據Aave v1 USDT市場的網站，大約有131萬美元USDT可用于流動性。

此前昨日消息，Yearn Finance項目遭受攻擊，黑客獲利超1000萬美元。[2023/4/14 14:03:37]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

yearn.finance總鎖倉量突破40億美元:yearn.finance發布推特表示，總鎖倉量（TVL）突破40億美元。據悉，Yearn Finance的總鎖倉量從10億美元到20億美元，花了226天。但從20億美元到40億美元只花了32天。[2021/5/8 21:37:52]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

yearn.finance：將會增加yCRV的權重:yearn.finance發推表示：我們已經和Curve團隊達成合作，旨在更好地理解veCRV和權重之間的關系。我們將會提出一項策略，承諾提高veCRV的百分比來增加yCRV的權重。[2020/8/20]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：YEAEARNFINAUSDYEAP幣Learning BlockPlumCake FinanceUUSD價格

幣贏