Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_YEA

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

DeFi收益聚合器Yearn針對v3版本發起黑客公開挑戰計劃:7月26日消息，DeFi 收益聚合器 Yearn 在社交媒體上發文表示，其 v3 版本已經經過多次審核和內部審查，即日起將發起黑客挑戰計劃，若黑客能成功從 Yearn v3 Vault 中獲取資金，Yearn 將不予追究。[2023/7/26 15:58:43]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

Yearn.finance正對Yearn v2保管庫進行持續測試:Yearn.finance官方剛剛發布推文稱，正在Ropsten上對Yearn v2保管庫進行持續測試，正在測試單個保險庫同時資助3種不同策略的能力。[2020/10/16]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

Yearn.Finance為即將推出的WBTC Vault提交MakerDAO改進提案:Yearn.Finance團隊提交了一份MakerDAO改進提案，建議將WBTC Vault添加至白名單以訪問即將來自Maker的預言機定價，這表明其離發布不會太遠。此外，9月18日，Yearn.Finance推出了新的“SyntheticRebaseDollar”，其中包括“基于credit的rebase指數”。該指數旨在追蹤已鑄造穩定幣錨定基礎資產的價值，并根據價格波動自動增加或減少已鑄造穩定幣的總數。該團隊表示，他們“還不確定”將使用該協議做什么，并希望發布該指數，以便其他人利用該技術進行構建和改進。（Cointelegraph）[2020/9/18]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：YEAEARNANCFINAYEARN ETHEREUM YIELDYearn IncomeUMEfinanceGold Rush Finance

中幣