一、事件概覽
北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?
成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。
zkSync橋接存儲總價值超過16萬枚ETH:金色財經報道,據Dune Analytics數據顯示,以太坊 Layer 2 擴容解決方案zkSync跨鏈橋接存儲總價值已超過16萬枚ETH,本文撰寫時為160,155 ETH,參與橋接交易的用戶量為354,726個。[2022/8/18 12:34:37]
二、事件分析
△圖1?交易信息
如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:
36.16萬枚ETH在近一周被質押至以太坊2.0合約:據歐科云鏈OKLink數據顯示,截至上午10時,以太坊2.0存款合約地址已收到520.22萬ETH,近一周新增361632 ETH,單周質押數量環比上升59.05%;當前已有27097個地址進行ETH2.0的質押,近一周新增5801個。[2021/5/31 22:57:53]
△圖2?deposit函數源代碼
很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。
數據:以太坊上比特幣錨定幣的流通量首次突破16萬枚:據歐科云鏈OKLink數據顯示,截至今日16時,以太坊上的比特幣錨定幣流通量達到16.01萬,首次突破16萬枚。
當前以太坊上比特幣錨定幣流通量前三名分別是WBTC 115621枚,占比72.18%,HBTC 21906枚,占比13.67%以及renBTC 16244枚,占比10.14%。[2021/1/29 14:20:22]
第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。
動態 | 以太坊鏈上出現約16萬枚大額轉賬:據Whale-alert監測,今日07:05:23,ETH鏈上0xd3e366開頭地址向0x9db407開頭地址轉入160932枚ETH,價值約3764萬美元,兩地址均未標記所屬,交易ID為:0x697d6c6998087f392a0ddaba9e133678088b6057762ca02037ddf3ab765dd060。[2019/8/6]
然后進入第555行的rebalance函數,分析該函數的邏輯。
△圖3?rebalance函數源碼
△圖4?recommend函數
第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:
△圖5?recommend查詢結果
其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。
△圖6?_withdrawAll函數源代碼
第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。
最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。
整個交易就此結束,可以看到,這次所謂的“閃電貸攻擊”只是虛驚一場。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的“閃電貸攻擊”,可謂是鬧了場烏龍事件。
值得注意的是,dYdX在該事件中充當了一個“良心商家”的角色,并不是以往閃電貸攻擊中的幫兇。
三、安全建議
盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。
同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。
昨日晚間給出的簡評,建議回踩先看反彈。給出的操作建議1490-1500附近多單,目標1550-1560,止損1450,午夜01:00插針突破上軌壓制至1561.97一線,完美抵達目標點位1560.
1900/1/1 0:00:00Polkadot網絡有許多開發平行鏈的團隊,每個團隊都針對自己的領域進行了優化。這些平行鏈專門用于智能合約、身份識別、DeFi、機器人、橋等等.
1900/1/1 0:00:00Gate.io將于2021年2月27日14:00上線BridgeMutual(BMI)交易,BMI充值答題活動即日開啟,總獎池10,000美金.
1900/1/1 0:00:00全球首個大型加密藝術展「虛擬生境——鏡中迷因可曾見」首展將于3月26日在北京UCCALab正式開幕.
1900/1/1 0:00:00近日,人民銀行數研所發布了與香港金管局、泰國央行和阿聯酋央行共同發起多邊央行數字貨幣橋研究項目的聲明,將通過開發試驗原型,“進一步研究分布式賬本技術.
1900/1/1 0:00:00今天比特傻在BSC上某項目挖礦。二池年化最高幾十萬,帶動了大量人入場,拉升了幣價。那問題是,什么時候下車呢?一般以太上2萬APY才是基準線,到了就可以下車.
1900/1/1 0:00:00