黑客通过闪电贷获得攻击启动资金,利用 Yearn 项目代码漏洞完成整个攻击。

原文标题:《Yearn.Finance 惊爆漏洞,DeFi 再遭打击,一文带你探明事件始末!》
撰文: CertiK

2 月 5 日消息,据 DeBank 数据显示,DeFi 真实锁仓量突破 470 亿美元,创下历史新高,本文撰写时为 478.3 亿美元,约等于 3095 亿人民币。

Yearn 遭攻击损失 1100 万美元,一文探明事件始末

2020 年被称为「DeFi 元年」,DeFi 在 Compound 首创的 「流动性挖矿」推动下获得了历史性的大爆发,然而其安全风险居高不下。

北京时间 2 月 5 日凌晨,CertiK 安全技术团队发现 DeFi 项目 Yearn.Finance 发生攻击事件 ,攻击总损失高达约 7100 万人民币,黑客从中获利约 1800 万人民币。

黑客通过闪电贷获得攻击启动资金,利用 Yearn 项目代码漏洞,完成整个攻击。

Yearn 遭攻击损失 1100 万美元,一文探明事件始末 攻击者获利数目截图

此次攻击总计包括 11 笔利用漏洞获利交易以及 3 笔转换代币交易 ,交易列表如下:

Yearn 遭攻击损失 1100 万美元,一文探明事件始末

除开 3 笔转换代币交易之外,剩余 11 笔获利交易均针对同一个漏洞,使用相同的攻击方式完成的获利。

攻击大致流程图如下:

Yearn 遭攻击损失 1100 万美元,一文探明事件始末

具体步骤如下:

  • 利用闪电贷筹措攻击所需初始资金。

  • 利用 Yearn.Finance 合约中漏洞,反复将 DAI 与 USDT 从 3crv 中存入和取出操作,目的是获得更多的 3Crv 代币。这些代币在随后的 3 笔转换代币交易中转换为了 USDT 与 DAI 稳定币。

  • 完成 5 次重复的 DAI 与 USDT 从 3crv 中存取操作后,偿还闪电贷。

CertiK 安全技术团队当前正在审查 Yearn.Finance 中存在的漏洞,更多漏洞细节将在后续分析中进行详解。

总结

加密世界的交互往往都伴随着一定的风险,而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险,此次漏洞的爆发同样是 DeFi 领域的一个警示。