链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 火星币 > 正文

USD:Yearn Finance 被黑简析_busd币价格今日行情

作者:

时间:

据慢雾区情报,2023年4月13日,去中心化收益聚合平台YearnFinance遭到攻击,攻击者获利超千万美金。慢雾安全团队以简讯的形式分享如下:

相关信息

Yearn的yUSDT合约设计存在aUSDT、dydx头寸、iUSDC与cUSDT储备,用户在deposit/withdraw时会根据上述储备余额计算用户所能获得的份额/所需存款的数额。

攻击核心点

此次攻击的原因在于攻击者利用yUSDT合约被错误设置了fulcrum地址,从而操控yUSDT合约中的稳定币储备余额,通过在yUSDT中存入USDT,以获得大量的非预期的yUSDT代币进行获利。

Yearn社区提议引入yOptions计划来简化Yearn贡献者的薪酬:1月30日消息,Yearn社区提议引入yOptions计划来简化Yearn贡献者的薪酬。具体来说,贡献者将能够购买打折的YFI,最高可达他们当前的每月薪酬水平;所有购买的YFI都会立即锁定到veYFI;折扣范围为当前市场价格的10-60%,具体取决于每个贡献者的veYFI锁定期限。[2022/1/30 9:23:07]

具体细节分析

YFI社区已通过回购和重建Yearn提案:1月20日早间,Yearn.finance (YFI) 核心开发者banteg发推宣布,“回购和重建Yearn”的提案已以99.44%的支持率获得通过。根据官方此前公布的信息,该提案具体内容是:1.使用YFI质押奖励在公开市场上回购YFI,并将回购的YFI用于贡献者奖励和其他Yearn活动。2.撤消YFI治理金库(yGov),使其不再起作用。3.即使在其他地方使用YFI代币时也允许参与YFI治理(如在SushiSwap中提供流动性)。[2021/1/20 16:34:48]

1、攻击者首先通过闪电贷借出大量的DAI、USDC和USDT,接着通过Curve的ySwap将DAI和USDC换成USDT,以消耗yUSDT合约中的aUSDT储备。

YFI ( YearnFinance) 突破32208美元 最高涨幅105.16%:据Gate.io行情显示,交易对YFI/ USDT币价持续上涨,今日突破32208美元,截至今日17:17,24H涨幅最高达105.16%,当前涨幅33.62%,24H最高价39744美元,当前报价32208美元。据悉,Gate.io YFI永续合约已在今日上线,支持1-20倍做多和做空操作,杠杆率可以在下单时自行选择。[2020/8/30]

2、接着攻击者为AavePoolv1上存在负债的用户还款,目的是增加AavePoolv1中的USDT数额,以便yUSDT中的aUSDT能够顺利被赎回。

yearn.finance公布YFI新增vault:yearn.finance在推特上公布YFI新增vault,包括DAI、TUSD、USDC以及USDT。免责声明包括:0.5%提款费;不要拿你的资金冒险。此外,在区块高度10695309初始化的yVault将在接下来的24小时内提供APR指标。[2020/8/20]

3、紧跟着调用yUSDT合约的deposit函数进行USDT存款,得到相对应的yUSDT代币。为后续通过withdraw清空yUSDT中aUSDT储备做准备。

4、为了确保withdraw时能够清空yUSDT中aUSDT储备,攻击者调用iUSDC合约的mint函数铸造iUSDC后,将iUSDC直接转给yUSDT合约,为yUSDT合约增加储备深度。

5、随后攻击者调用yUSDT合约的withdraw函数进行取款,由于此时provider指定为AAVE,因此yUSDT会通过AavePoolv1赎回USDT给提款人。

6、由于攻击者在之前通过iUSDC增加了合约中的储备,因此在此次提现中可以将yUSDT里的aUSDT储备全部清空。

7、此时yUSDT合约中的aUSDT、dydx头寸与cUSDT储备都被操控为0了。最后,为清空iUSDC储备,攻击者调用yUSDT合约的rebalance函数,进行储备更新。

8、由于此时yUSDT中只剩余iUSDC,因此合约的新provider将会被指向iUSDC,导致Rebalance函数会先进行_withdrawAll操作,再通过余额获取的方式更新储备。

9、而在_withdrawAll操作中会燃烧掉iUSDC以获得USDC代币,但在更新储备时获取的是yUSDT合约中USDT的余额。因此fulcrum储备被错误的指向了iUSDC,导致此时yUSDT合约储备被操控为0。

10、攻击者为确保能通过存款获得大量的yUSDT,向yUSDT合约中转入1wei的USDT。

11、最后,攻击者调用yUSDT的存款函数,存入10,000枚USDT,获得1,252,660,242,850,000枚yUSDT,并通过curve将yUSDT换成大量的yDAI、yUSDC、yTUSD。

总结

本次攻击事件是由于YearnFinance的yUSDT合约错误的配置导致的。慢雾安全团队建议在对协议进行配置时,应仔细检查所有参数是否符合预期并进行充分的测试以确保协议的安全。

标签:USDSDTUSDTYFIbusd币价格今日行情gusdt币最新消息AUSDTIYFI价格

火星币热门资讯
CHA:金色晨讯 | 4月13日隔夜重要动态一览_CNexchange

21:00-7:00关键词:Shapella升级、HashkeyPro、OpenAI、FTX1.以太坊已完成Shapella升级;2.Aptos推出2000万美元奖励计划.

代币化:现实资产上链赛道进展:一文了解 14 个类别 50 个 RWA 项目_MEMES

作者:黑米,白泽研究院 DeFi正在通过对房地产、艺术品等实物资产进行代币化来改变格局。真实世界资产(RWA)代币化是一个将有形资产转换为代币或NFT的过程,使它们能够在链上进行交易.

MEME:数字集体主义:加密资本主义与产权垄断_defi community

文章作?者:??0xShadow现在是2077年,我们进入了新产权时代,通过在元宇宙建立新的秩序,我们为所有人构建了对抗资本垄断的工具-全民公有土地,利用哈伯格税实现全民UBI.

USD:速览加密VC近期看好的三个DeFi项目_泰达币usdt钱包下载

原文作者:Ignas,DeFi?研究员原文编译:Leo,BlockBeats除了项目本身,在加密VC的投资上也能看出市场走向,通过加密VC的投资数据可以帮助用户了解最新DeFi趋势.

CHA:破产律师和顾问2月份向FTX收取3000万美元费用_MICROSHIB

金色财经报道,根据提交给破产法庭的最新赔偿报告,在2月份律师和顾问从FTX那里收取了超过3000万美元的费用,其中包含约2970万美元赔偿金和另外407,000美元的报销费用.

RBI:Arbitrum 治理事件启示:加密项目需要公平的游戏规则_RUM

撰文:Alex 编译:0×11,ForesightNews「加密项目多年来一直在这样做」,请适可而止吧.