DAI:16万美元资产被盗竟是乌龙事件？Yeld.finance“闪电贷攻击”事件简析_DYDX

一、事件概览

北京时间2021年2月27日，舆情监测到，DeFi知名项目Yeld.finance官方发出通告，表示该项目的DAI池遭受到闪电贷攻击，原文链接如下：

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?

成都链安安全团队第一时间介入响应，对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现，该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移，与闪电贷攻击无关。闪电贷攻击表示不背这个锅。

知情人士：美国或将达成一项关于稳定币的全面框架协议:金色财经报道，美国众议院金融服务委员会的多数民主党人反对一项法案，该法案将指示监管机构为数字资产从证券过渡到商品提供明确的路径，以及美国加密货币监管的其他重大变化。民主党领袖、众议员Maxine Waters表示，该法案对加密行业过于友好，他们对共和党人决定推进一项大规模市场结构法案以改写美国的投资者保护法案感到失望。由于民主党以微弱优势控制参议院，民主党的反对使市场法案在本届国会成为法律的道路变得复杂。如果党内大多数成员反对，拜登不太可能将一项法案签署为法律。

不过，Waters和众议院金融服务委员会主席Patrick McHenry乐观地认为，稳定币法案或是可行的，正在进行的最后一刻谈判可能会就稳定币立法与市场法案达成更多协议，并将在周四进行委员会投票。[2023/7/27 16:01:01]

二、事件分析

蚂蚁矿机：正在密切关注关于17系列部分产品的问题:蚂蚁矿机官方发公告称，近期蚂蚁矿机接到了客户反馈，关于17系列部分产品的问题我们正在密切关注，并积极与客户沟通处理。在此过程中，针对因产品问题导致收益受损的部分客户进行了收益损失赔偿、对发、换新机发货、免费驻场维修、远程或上门协助解决等方案。[2020/4/23]

△图1?交易信息

如图1所示，该笔交易是名为0xf0f225e0的用户，调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认，0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移，分别用T1到T6表示。那么，这些代币转移究竟是什么操作导致的呢？下面通过代码进行分析：

日本九州工业大学将开设关于区块链技术课程:根据日本经济新闻报道，日本九州工业大学将于今年夏天实施区块链技术相关课程。据悉，九州工业大学与和近畿大学一起开发区块链的HAW International公司一起合作并将与6月进行区块链技术相关课程，这是日本国内首个区块链技术相关的课程。[2018/3/19]

△图2?deposit函数源代码

很明显，第538行代码，产生导致了序号为T1的代币转移，将token转移到yDAI合约。这是一笔普通的代币转账，表示用户存入了9,377DAI到yDAI合约。

动态 | 38821枚ETH发生大额转账，价值约516万美元:据链上数据监测，01月05日01时55分，38821枚ETH(价值约516万美元)从0xda42开头的地址转入0xbc8a开头的地址，交易哈希为0x3e02ed096e675f2c15a2e67acbb267efd17f8d7d649707e85fbcf173f4443e75。[2020/1/5]

第541-553行代码，是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI，并在第554行进行铸币，对应序号为T2的代币转账，表示yDAI合约向用户铸了9,306yDAI。

然后进入第555行的rebalance函数，分析该函数的逻辑。

△图3?rebalance函数源码

△图4?recommend函数

第732行代码会计算newProvider，该函数会调用recommend函数(如图4所示)，recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中，年利率(APR)最高的项目，查询结果如图5所示：

△图5?recommend查询结果

其中dYdX池的APR最高，newProvider被设置为dYdX池。当前池为AAVE池，进入736行的if代码块，调用内部函数_withdrawAll。

△图6?_withdrawAll函数源代码

第778行代码将会提出AAVE池中的所有DAI，产生了序号为T3-T5的代币转移，具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码，此处不再详述。

最后是第741行代码，将从AAVE中提出的16.6余万枚DAI存入dYdX合约，产生了序号为T6的代币转移，即将16.6万枚DAI存入dYdX池。

整个交易就此结束，可以看到，这次所谓的“闪电贷攻击”只是虚惊一场。用户只是单纯的存入了一笔DAI，然后刚好触发了Yeld.finance项目的策略机制，并不是所谓的“闪电贷攻击”，可谓是闹了场乌龙事件。

值得注意的是，dYdX在该事件中充当了一个“良心商家”的角色，并不是以往闪电贷攻击中的帮凶。

三、安全建议

尽管本次事件经成都链安安全团队分析后被判断为虚假一场，但在这里还是有必要提醒各项目方，依然需要在日常的安全防护工作中，对闪电贷攻击加以预警和防范。

同时，作为致力于区块链生态安全建设的成都链安也在此建议，项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量，搭建覆盖全生命周期的一站式安全解决方案方为万全之策。

标签：DAIDYDXCOMELDDAIN Tokendydx币会涨到50美元SAFECOM价格YEARN ETHEREUM YIELD

火币APP下载热门资讯