两级反转?黑客攻击yDAI保险库后,Curve坐收渔翁之利。北京时间2月5日,YearnFinance发推文表示v1yDAI保险库遭到攻击。YearnFinance核心开发者@banteg表示:“保险库被利用,攻击者获得280万美元,保险库损失1100万美元。在我们调查期间,v1DAI、TUSD、USDC、USDT保险库的策略存款将禁用。”PeckShield通过追踪和分析发现,此次攻击与此前安全研究员Wen-DingLi所披露的在Yearn.finance的TUSDVault上发生的快速贷款攻击漏洞相似。
首先,攻击者从dYdX和AaveV2借出闪电贷;随后,攻击者利用所借资产通过对3pool的存取操作导致其中代币不平衡;接下来,攻击者将DAI存放至yDAI保险库中,触发继续投资到受影响的策略投资中,恶化了3pool中不平衡交易的状态,攻击者立即从恶化的不平衡状态中获利;攻击者重复利用上述步骤并且避免触发0.5%的滑点控制,最终偿完一开始的闪电贷,造成yDAI保险库损失1100万美元。值得注意的是,受影响的策略有执行滑点控制,但目前没有提币费用,这使得漏洞有利可图。为了避免触发滑点控制,攻击者反复利用上述步骤,确保攻击成功。攻击发生后,YearnFinance立即禁用保险库策略。
做遏制DeFi借贷波动利率“无形的手”?YearnFinance保险库还不够保险。2020年9月底YearnFinance的开发人员就曾披露修补了可能会使yDAI,yTUSD和yUSD保险库的资金面临风险的漏洞。11月TUSDVault上出现的快速贷款又出现同类攻击漏洞后,所幸迅速修复。多次修修补补后,仍未逃过一击。PeckShield安全公司多次提醒,项目方不仅要将代码做到极致,还要防患于未然,一旦有DeFi攻击事件发生,就要自查代码,及时查缺补漏。截至目前,YearnFinance核心开发者banteg表示,黑客已经窃取了51.3万枚DAI和170万美元的USDT,其余的以CRV代币的形式存在。Aave创始人StaniKulechov则表示,这次攻击包含一个复杂的漏洞,涉及多个DeFi平台的160多笔交易,花费了逾5000美元的Gas费用。
风投投资者JulienThevenard指出,从vault被盗的资金中,有超过300万美元被DeFi贷款平台Curve上的流动性提供商接收。
标签:USDDAIEARNANCBitVenus里的usdt能用DaiquilibriumEARNX币WallStreet.Finance
编者按:本文来自黑氏理论,作者:黑鳳李,Odaily星球日报经授权转载。 1.序言 互联网出现之后,人类社会迎来了高速发展,颠覆了信息的生产和传递方式,改变了文明的演进方向.
"毫无疑问,去中心化平台是需要为用户的侵权行为负责的。"——Dimension合规负责人KattGu自2021年1月25日起,BCA团队发现了一起"盗窃案".
编者按:本文来自金色财经,Odaily星球日报经授权转载。2021新年伊始,BTC迎来一轮令人瞠目结舌的上涨,吸引了全球资本市场的目光.
撰文|Banach时间|2021.01.27出品|NEST爱好者获作者授权发布为什么会有触发算子?当合约内部逻辑满足一定的条件时,需要改变合约状态,这个时候合约不会自动实现,需要外部操作来触发.
编者按:本文来自金色财经,Odaily星球日报经授权转载。概要1.灰度最近的一份报告预测,EIP-1559推出后,ETH价格会形成“正循环”.
对于Taraxa来说,2020年仍是令人振奋的一年。我们在工程验证和市场验证方面都实现了关键里程碑,这为我们树立可持续的长期愿景提供了技术基础和市场信心.