区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > Luna > 正文

USDT:老牌DeFI项目被盗超1000万美元 简要梳理攻击过程_USD

作者:

时间:

2023年4月13日,据Beosin-Eagle Eye态势感知平台消息,Yearn Finance的yusdt合约遭受黑客闪电贷攻击,黑客获利超1000万美元。

https://eagleeye.beosin.com/RiskTrxDetail/0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d关于本次事件,Beosin安全团队在白天已将简析以快讯的形式分享给大家,现在我们再将长文分享如下:

攻击交易

0x8db0ef33024c47200d47d8e97b0fcfc4b51de1820dfb4e911f0e3fb0a4053138

0xee6ac7e16ec8cb0a70e6bae058597b11ec2c764601b4cb024dec28d766fe88b2

Blur CEO评亚马逊进军NFT市场:老牌机构或难以有效驾驭新范式:金色财经报道,Blur首席执行官Tieshun Roquerre在谈到亚马逊进军NFT市场时表示,虽然这一举措是“积极”的,但带来的影响可能较为有限,他说道:“每当出现新的范式时,老牌机构很少能有效地驾驭,如果Web2公司能在Web3中做出引人注目的东西,我会感到惊讶。”不过,OpenSea 首席商务官Shiva Rajaraman对亚马逊涉足区块链和Web3持乐观态度。

此前报道,科技巨头亚马逊或将于4月24日推出其NFT平台“Amazon Digital Marketplace”,该平台将首先向美国客户提供服务,然后逐步推广至其他国家。[2023/3/15 13:05:03]

攻击者地址

0x5bac20beef31d0eccb369a33514831ed8e9cdfe0

0x16Af29b7eFbf019ef30aae9023A5140c012374A5

美国老牌超市Kroger发言人:Kroger节假日将接受比特币的新闻稿为不实消息:美国老牌超市Kroger发言人:表示Kroger节假日将接受比特币的新闻稿为不实消息。(金十)[2021/11/5 21:28:47]

攻击合约

0x8102ae88c617deb2a5471cac90418da4ccd0579e

下面以

0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d为例进行分析。

1.攻击者首先通过闪电贷借出了500万Maker: Dai Stablecoin、500万USD以及200万Tether: USDT Stablecoin作为攻击本金。

PancakeSwap 与 MoonPay 集成:6月27日消息,去中心化交易协议 PancakeSwap 宣布与加密支付提供商 MoonPay 集成,支持使用信用卡、借记卡或银行转账购买加密货币。[2023/6/28 22:04:11]

2.攻击者调用aave池子合约的repay函数偿还其他人的欠款,这一步是为了将aave池子抵押收益降低,从而降低yearn:yUSDT Token合约中aave池子的优先级(yearn: yUSDT Token合约会根据收益情况判断将资金投入哪个池子)。

3.接着攻击者调用yearn: yUSDT Token合约的deposit函数质押了90万Tether: USDT Stablecoin,该函数会根据质押量为调用者铸相关数量的yUSDT,计算方式与池子中各种代币余额有关,如下图,此时为攻击者铸了82万的yUSDT。

Cobo:可为在港申请牌照的交易所提供多种灵活的解决方案:6月15日消息,数字资产托管解决方案提供商Cobo今日发文,深度解读香港数字资产交易所和基金申牌托管要求及解决方案。

Cobo表示,对于计划申请牌照的数字资产交易所,香港证监会针对托管技术的要点如下:(1)必须由数字资产交易所全资拥有的附属公司提供托管,此设定意味着不允许交易所使用第三方托管商的托管服务;(2)对于交易所采用的托管技术,香港证监会持开放态度;(3)冷热钱包的资产配置及保障,98%的用户资产必须放在冷钱包,其他不超过2%的用户资产则存放在热钱包;交易所必须为冷钱包中50%资产、热钱包中100%资产提供保障,保障可以是第三者保险、信托方式拨出的资金及银行担保。(4)交易所使用白名单地址机制规管客户出入金,确保用户是与属于自己或可接纳的第三方钱包地址进行交易。(5)私钥必须保存在香港本地, 以确保能有效监察及执法。[2023/6/15 21:37:13]

金色财经独家分析 洛克菲勒家族入局,老牌资本布局区块链:根据UseTheBitcoin消息称,全球最重要、最受认可的风险投资公司之一洛克菲勒的风险投资公司Venrock已与CoinFund合作。CoinFund是一家加密货币投资集团,主要是帮助企业构建区块链技术项目。金色财经独家分析,洛克菲勒家族迄今已繁盛了六代,是“世界财富标记”,与美国乃至国际政经都有着千丝万缕的联系。标准石油公司、大通银行、洛克菲勒基金会、洛克菲勒中心、芝加哥大学、洛克菲勒大学、现代艺术博物馆等都印刻着洛克菲勒家族的痕迹。旗下Venrock Associates成立之初为洛克菲勒家族的创业投资分支机构,现已经拥有60年向企业家提供资本支持并创办经久不衰的成功企业的投资历史,曾参投过苹果Apple。此次Venrock已与CoinFund合作,疑似洛克菲勒家族正式入局区块链行业。洛克菲勒家族入局区块链行业可以映衬出区块链行业对全球资本的吸引力进一步加强,同时反应了资本对于区块链未来看好。[2018/4/8]

4.此时,合约中有90万Tether: USDT Stablecoin与13万Aave: aUSDT Token V1

5. 接下来攻击者使用15万USD兑换了15万的bZx USDC iToken,并将其发送给了yearn: yUSDT Token合约,此时,合约中有118万的资金,攻击者拥有90/103的份额,也就是能提取103万资金。

6.随后,攻击者调用yearn: yUSDT Token合约的withdraw函数提取质押资金,此时合约中仅有攻击者之前质押的90万Tether: USDT Stablecoin、初始的13万Aave: aUSDT Token V1以及攻击者转入的15万bZx USDC iToken,而如果一个池子中代币不足的话,会按顺序提取后续池子的代币,此时攻击者将90万Tether: USDT Stablecoin以及13万Aave: aUSDT Token V1全部提取出来,经过本次操作,合约中仅有15万bZx USDC iToken。

7. 随后,攻击者调用yearn: yUSDT Token合约的rebalance函数,该函数会将当前池子的代币提取出来,并质押到另一个收益更高的池子中,由于第2步操作,合约会将USDT和USDC提取出来,添加到收益更高的池子中,但当前合约仅有bZx USDC iToken,也只能提取出USDC,提取出来后将复投到其他USDT池子,此时复投将跳过。

8.攻击者向池子中转入1单位的Tether: USDT Stablecoin,并再次调用yearn: yUSDT Token合约的deposit函数质押了1万Tether: USDT Stablecoin,由于第7步的操作,合约已经将所有池子中的资金全部取出来了,并且没办法添加到新池子中,导致pool这个变量计算出来就是攻击者向其中打入的1,而作为除数的pool,将计算出一个巨大的值,向攻击者铸了1.25*10^15枚yUSDT。

9.最后,攻击者利用yUSDT将其他稳定币全部兑换出来并归还闪电贷。

本次攻击主要利用了yUSDT Token合约配置错误,在进行rebalance重新选择池子的时候,仅使用了USDT(token为USDT)作为添加数量,而USDC无法添加池子,从而导致了攻击者使用USDC将该合约所有USDT“消耗掉”后,池子余额变为了0,从而铸了大量的代币。

截止发文时,Beosin KYT反分析平台发现被盗资金1150万美元部分已经转移到Tornado cash,其余还存储在攻击者地址。

针对本次事件,Beosin安全团队建议:初始化配置时进行严格检查。同时项目上线前建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

原文:《被盗超1000万美元,Yearn Finance如何被黑客“盯上”?》

来源:panewslab

PANews

媒体专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签:POLYUSDSDTUSDTpolydoge币初始价格usda币是局吗usdc币与usdt币哪个好泰达币USDT发行

Luna热门资讯
SYN:zkSync 官方盘点 5 个生态新项目_zksync币空投比例

原文:ZkSync 在zkSync Era上尝试的新dapp列表每天都在增长。今天,我们重点介绍了五个新项目,它们是快速增长的zkSync Era生态系统的一部分.

DEFI:金色Web3.0日报 | Twitter现已被并入名为X Corp.的新实体_ZKS

DeFi数据 1、DeFi代币总市值:520.56亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量26.

EFI:欧洲议会批准MiCA 它会成为Crypto全球监管的范本吗?_CRYPTO

欧盟的Crypto市场(MiCA)监管可能成为全球标准。现在欧洲议会批准了MiCA,它将影响在欧盟开展业务的集中式Crypto交易所。它还可能影响其他地方的Crypto监管.

USD:Polygon研究报告_USDT

目录 一、项目简介 二、项目愿景 三、特色和优势 可扩展性 高速度的交易和低Gas费等效以太坊虚拟机(EVM)适用于 Web3 的 AWS 四、发展历史 五、团队背景 六、融资信息 七、发展成果.

加密货币:扒一扒从V神到中本聪等一些加密大佬的加密财富_UNITYCOM

Blockworks近日扒了从V神到中本聪等一些加密大佬的钱包。金色财经编译如下;Buterin在2021年被福布斯评为世界上最年轻的加密货币亿万富翁——当时ETH首次突破3000 美元.

BUT:SFC蔡钟辉演讲全文:DeFi项目需持牌运营并受监管_UNI

演讲嘉宾:蔡钟辉,香港证券及期货事务检查委员会中介机构部临时主管 (金融科技咨询小组主席)原文编译:Ehan 吴说区块链早上好。很荣幸受邀在这个精彩的节日上发言.