2 月 5 日消息,据 DeBank 数据显示,DeFi 真实锁仓量突破 470 亿美元,创下历史新高,本文撰写时为 478.3 亿美元,约等于 3095 亿人民币。
2020 年被称为「DeFi 元年」,DeFi 在 Compound 首创的 「流动性挖矿」推动下获得了历史性的大爆发,然而其安全风险居高不下。
北京时间 2 月 5 日凌晨,CertiK 安全技术团队发现 DeFi 项目 Yearn.Finance 发生攻击事件,攻击总损失高达约 7100 万人民币,黑客从中获利约 1800 万人民币。
黑客通过闪电贷获得攻击启动资金,利用 Yearn 项目代码漏洞,完成整个攻击。
攻击者获利数目截图
此次攻击总计包括 11 笔利用漏洞获利交易以及 3 笔转换代币交易,交易列表如下:
除开 3 笔转换代币交易之外,剩余 11 笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。
攻击大致流程图如下:
具体步骤如下:
- 利用闪电贷筹措攻击所需初始资金。
- 利用 Yearn.Finance 合约中漏洞,反复将 DAI 与 USDT 从 3crv 中存入和取出操作,目的是获得更多的 3Crv 代币。这些代币在随后的 3 笔转换代币交易中转换为了 USDT 与 DAI 稳定币。
- 完成 5 次重复的 DAI 与 USDT 从 3crv 中存取操作后,偿还闪电贷。
CertiK 安全技术团队当前正在审查 Yearn.Finance 中存在的漏洞,更多漏洞细节将在后续分析中进行详解。
总结
加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。
而高收益必定伴随着高风险,此次漏洞的爆发同样是 DeFi 领域的一个警示。
