DEF:CertiK：还原Yearn.Finance被攻击始末_DEFY

2月5日消息，据DeBank数据显示，DeFi真实锁仓量突破470亿美元，创下历史新高，本文撰写时为478.3亿美元，约等于3095亿人民币。

2020年被称为“DeFi元年”，DeFi在Compound首创的“流动性挖矿”推动下获得了历史性的大爆发，然而其安全风险居高不下。北京时间2月5日凌晨，CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件，攻击总损失高达约7100万人民币，黑客从中获利约1800万人民币。黑客通过闪电贷获得攻击启动资金，利用Yearn项目代码漏洞，完成整个攻击。

Cardano创始人：不希望再被称为以太坊联合创始人，Cardano更让我自豪:Cardano创始人、以太坊联合创始人Charles Hoskinson发推称：“总有一天，加密货币媒体将不再称我为以太坊联合创始人，而只会提到Cardano，那将是非常美好的一天。在我的整个人生中，没有任何一个项目或努力比Cardano更让我感到自豪。”（ZyCrypto）[2020/4/25]

攻击者获利数目截图

分析 | Binance 最新报告将XRP称为“最佳多元化”数字资产:据Binance Research 发布的最新报告显示，其中详细说明了各类加密货币之间的相互关系。它的结论是，比特币和以太坊等最大规模应用的加密货币表现出最高的正相关或“集群”关系。这种正相关意味着比特币和以太坊的价格趋向于遵循相同的市场趋势。随着价格趋于一致，投资者将面临类似的收益和风险。另一方面，Ripple与比特币和以太坊的趋势相关性较小，因此在报告中被称为“市值超过30亿美元的数字资产中最佳的多元化市场”。[2019/4/28]

此次攻击总计包括11笔利用漏洞获利交易以及3笔转换代币交易，交易列表如下：

声音 | 业内人士表示：移动互联网时代区块链等都可能被称为网络服务提供者:据人民日报消息，近日,首例涉微信小程序案一审宣判。杭州互联网法院判定微信小程序平台不适用“通知—删除”规则,驳回原告对腾讯公司的诉讼请求。业内人士表示，在大数据移动互联网时代,区块链、开放平台、云计算服务、浏览器、网络通讯、Wi-Fi助手、OS等等,都可能被称为网络服务提供者。特别是区块链基于其分布式存储和不可篡改性,对其要求通知删除在各个节点链上很难实现。因此,在适用侵权责任法中的“通知—删除”规则时,应当具体分析网络服务提供者的性质。[2019/3/19]

除开3笔转换代币交易之外，剩余11笔获利交易均针对同一个漏洞，使用相同的攻击方式完成的获利。攻击大致流程图如下：

具体步骤如下：

利用闪电贷筹措攻击所需初始资金。利用Yearn.Finance合约中漏洞，反复将DAI与?USDT?从3crv中存入和取出操作，目的是获得更多的3Crv代币。这些代币在随后的3笔转换代币交易中转换为了USDT与DAI稳定币。完成5次重复的DAI与USDT从3crv中存取操作后，偿还闪电贷。CertiK安全技术团队当前正在审查Yearn.Finance中存在的漏洞，更多漏洞细节将在后续分析中进行详解。总结

加密世界的交互往往都伴随着一定的风险，而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险，此次漏洞的爆发同样是DeFi领域的一个警示。

标签：DEFDEFIEFIYEADEFYKong Defipefi币价格今日行情Yeap Fun

币赢交易所热门资讯