以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > AAVE > Info

成都鏈安:DeFi項目Yearn Finance閃電貸攻擊事件分析_DAI

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年2月5日,輿情監測到,DeFi知名項目YearnFinance發生閃電貸攻擊事件。簡言之,本次攻擊事件的具體手法為攻擊者利用閃電貸借取巨額資金,而后進行循環套利。根據成都鏈安安全團隊的響應和分析,本次攻擊事件的合約為yValut+CurvePool。二、事件分析

1.攻擊者在yVault合約中存入DAI,并調用earn觸發yValut向流動性池使用DAI添加流動性,如下圖所示:

成都鏈安:Li.Finance遭受攻擊事件分析:金色財經消息,據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DEX聚合協議Li.Finance遭黑客攻擊損失約60萬美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析發現:被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊,可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中,攻擊者惡意構建callTo地址為對應的代幣合約地址,并調用代幣合約的transferFrom函數轉走受害地址的代幣。[2022/3/21 14:08:55]

△圖1上圖紅框顯示,在進行鑄幣時,需要讀取合約中的DAI余量,但因為策略合約中的DAI已經抵押至curve合約進行盈利,所以要計算DAI代幣的量,只能通過價值換算,計算出所持有的Curve代幣能夠兌換的DAI的量。2.攻擊者利用借來的資金向流動性池使用USDT添加流動性,獲得Curve代幣,如下圖所示:

成都鏈安CEO楊霞:DeFi項目方應重視合約安全問題:據官方消息,在由OKEx主辦的“后疫情時代:DeFi的機遇與挑戰”社群活動上,成都鏈安創始人兼CEO楊霞談到最近dForce攻擊事件,她表示,DeFi項目正在快速發展壯大,據我們統計截止2020年,鎖定在以太坊DeFi應用中資產已達到10億美元。DeFi項目火爆主要來源它的高收益。DeFi又被稱為“去中心化金融”,開放式金融基礎,則是高達8%-10%收益率必然會伴隨巨大風險。各方DeFi團隊開發自己合約產品也是自由發揮;但并沒有一個統一的、標準的安全方案去遵守,或者說是必須通過嚴格安全審計,這就導致各種合約漏洞與相關安全問題層出不窮,此次事件項目方就應該進行重入防護:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合約狀態變量,再進行外部調用。任何Defi項目方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,借助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。[2020/4/30]

聲音 | 成都鏈安:用戶安全意識不足、交易所安全體系不夠完善等因素造成交易所安全事件頻發:成都鏈安統計數據顯示,近期交易所安全問題時有發生。通過總結近期各種交易所安全事件和用戶丟幣事件,成都鏈安分析認為,交易所安全事件的問題來源主要有三點:1、用戶安全意識不足,導致誤入釣魚網站等進而私密信息被盜。2、交易所安全體系不夠完善,平臺自身存在安全漏洞。3.交易所外接數據服務或其他服務后,未針對不可控因素建立應急機制。[2019/8/26]

△圖2這里值得注意的是,攻擊者向池中注入的是單一的USDT,因為池子的特性,我們知道,當一種代幣的含量上升,其相對價格也就下降。3.攻擊者取出yValut合約中存入的DAI,如下圖所示:

△圖3根據#2可知,此時的池子中因為USDT的含量增加,所以DAI的相對價格是上升的,這也就導致攻擊者所持有的Curve代幣兌換出的DAI相對下降,池子中將會余留少量DAI。4.攻擊者指定與添加流動性時相等的USDT數量,進行流動性移除,注意這里因為#3時將一部分DAI取走,所以USDT的相對#2時價格下降,所以這里將余下一部分Curve代幣。

△圖4不斷進行上述循環,這使得攻擊者消耗DAI進而獲取Curve代幣。經過多次循環之后,攻擊者套取了大量的Curve代幣,而將DAI代幣打入了Curve合約中。在整個攻擊流程結束時,攻擊者使用Curve代幣,兌換出DAI/USDC。這次兌換,因為不是USDT的兌換,即使此時的DAI相對攻擊前含量較高,也會按照同等比例進行兌換,也就是攻擊者打入Curve池子中多出的DAI代幣,也會分發給攻擊者。這里,我們再來看攻擊者在進行攻擊時的第一步操作,如下圖所示:

△圖5攻擊者利用閃電貸向池子中添加了巨量的流動性,這就導致這些多出的DAI,最終將會大部分分給攻擊者。而除去這一部分損失,攻擊者還獲得了更多的Curve代幣,從而獲利。三、安全建議

針對本次事件,成都鏈安安全團隊認為,很大程度上源于項目方潛在的合約漏洞未得到全面的安全排查,進而導致閃電貸攻擊事件的發生。在此,成都鏈安需要提醒區塊鏈各生態項目方,切不可因項目上線完成之后就掉以輕心,做好日常的安全排查和安全加固等工作,尋求第三方安全公司的力量,建立一整套的安全防護機制,防范于未然。

Tags:DAICurveCURDEFIText2VidAIcurve幣圈CURRY價格Libre DeFi

AAVE
以太坊價格飛漲的背后,治理是如何運作的?_以太坊

編者按:本文來自加密谷Live,作者:MicahZoltu,翻譯:李翰博,Odaily星球日報經授權轉載。 參與者 以太坊客戶端開發者-任何維護以太坊客戶端的人.

1900/1/1 0:00:00
區塊鏈不是萬能藥,但在需要的地方,它就是救世主_區塊鏈

編者按:本文來自萌眼財經,Odaily星球日報經授權轉載。對于從事區塊鏈工作的管理者、企業家和建設者來說,對實施分布式賬本技術進行成本效益分析是至關重要的.

1900/1/1 0:00:00
Robinhood和GameStop事件證明:我們需要一個新的金融系統_ROB

編者按:本文來自Cointelegraph中文,作者:ALEXMASHINSKY,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
知識產權保護,區塊鏈技術或將成必選項_區塊鏈

編者按:本文來自01區塊鏈,Odaily星球日報經授權轉載。2月1日出版的第3期《求是》雜志將發表中共中央總書記、國家主席、中央軍委主席習近平的重要文章《全面加強知識產權保護工作激發創新活力推動.

1900/1/1 0:00:00
借助DeFi,NFT發展達到歷史新高_NFT

流動性對所有dapp的創建和發展至關重要。DeFi夏日狂潮過后,NFT的發展成為焦點。它們之間的聯系遠比一些人想象的還要緊密.

1900/1/1 0:00:00
ETH周報 | CME以太坊期貨將于2月8日開放交易;Staked.us上超過70個ETH2.0節點遭集體slash(2.1-2.7)_ETH

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 2月7日晚,CME集團在推特上宣布,以太坊期貨將于北京時間2月8日上午7時開放交易;過去一周.

1900/1/1 0:00:00
ads