"2月5日,YearnFinancev1版本的yDAI机池漏洞被利用,损失1100万美元,该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"
2月5日凌晨5点左右,yearn官方在推特上表示,
“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”
Aave:Yearn Finance被盗事件对Aave v2、v3没有影响:4月13日消息,Aave 在其社交平台表示,Yearn Finance 被盗事件对 Aave v2、v3 没有影响。而对于 Aave v1 的影响正在确认,该协议的最原始版本已被冻结。Aave 正在密切监视情况,以确保没有进一步的问题。
此前有社区反馈,此次 Yearn Finance 被盗事件是黑客通过 Aave v1 发起闪电贷攻击引发,派盾表示该事件的根本原因或是 yUSDT 的相关设置错误被黑客攻击。[2023/4/13 14:01:30]
Yearn核心开发者banteg随后发布信息表示,
YFI核心开发者:Yearn v2协议总收入已超5000万美元:yearn.finance (YFI)核心开发者banteg发推称,Yearn v2协议的总收入(gross revenues)刚刚超过5000万美元。[2021/5/31 22:59:48]
“YearnDAIv1机池被黑客攻击,攻击者已获得280万美元,整个机池损失了1100万美元。在我们调查期间,针对v1DAI,TUSD,USDC,USDT机池的策略存款将会被禁用。”
Yearn回购8.15个YFI,总价值约40.8万美元:5月17日消息,DeFi项目yearn.finance(YFI)发推称以40.8万美元回购了额外的8.15个YFI,每个YFI的平均价格为50121美元。
注:回购YFI是根据一项名为“YIP-56”的提案来进行的,该提案旨在使用YFI的Staking奖励在公开市场上回购YFI,从而为生态系统带来更多价值。[2021/5/17 22:09:36]
banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。
在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。
黑客攻击手法
TheBlock研究分析师IgorIgamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。
1/通过闪电贷从dYdX借来11.6万ETH
2/通过闪电贷从Aavev2借来9.9万ETH
3/使用ETH作为抵押品借入1340万USDC和1290万DAI
4/在3crvCurve池中添加1340万USDC和360万DAI
5/从3crvCurve池中提取1.65亿USDT
6/以下操作重复5次:
-将930万DAI存入yDAI机池
-将1650万USDT添加到3crv池中
-从yDAI机池中提取920万DAI
-从3crv池中提取1.65亿USDT
7/最后一次取款3900万DAI和1.34亿USDC,而不是USDT
8/偿还Compound借贷
9/偿还闪电贷
攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。
截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。