成都链安：DeFi项目Yearn Finance闪电贷攻击事件分析_比特币:LTC

一、事件概览

北京时间2021年2月5日，舆情监测到，DeFi知名项目YearnFinance发生闪电贷攻击事件。简言之，本次攻击事件的具体手法为攻击者利用闪电贷借取巨额资金，而后进行循环套利。根据成都链安安全团队的响应和分析，本次攻击事件的合约为yValut+CurvePool。二、事件分析

1.攻击者在yVault合约中存入DAI，并调用earn触发yValut向流动性池使用DAI添加流动性，如下图所示：

REV智能合约已通过Beosin（成都链安）的安全审计:据官方消息，Justswap上的明星项目，REV团队释放出REV智能合约审计报告，由Beosin（成都链安）安全审计完成。

据了解，REV（Revolution Token）是基于区块链的新型社会实验型代币。其独特之处在于内嵌了交易燃烧、尾单博弈、持币分红三种独特的创新机制。

REV技术介绍：智能合约的整体设计清晰，逻辑缜密，代码安全靠谱，从性能和功能上完全具备了区块链顶级去中心化金融项目的一切条件。合约地址(认准唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。详情点击原文链接。[2020/9/16]

△图1上图红框显示，在进行铸币时，需要读取合约中的DAI余量，但因为策略合约中的DAI已经抵押至curve合约进行盈利，所以要计算DAI代币的量，只能通过价值换算，计算出所持有的Curve代币能够兑换的DAI的量。2.攻击者利用借来的资金向流动性池使用USDT添加流动性，获得Curve代币，如下图所示：

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

声音 | 成都链安：用户安全意识不足、交易所安全体系不够完善等因素造成交易所安全事件频发:成都链安统计数据显示，近期交易所安全问题时有发生。通过总结近期各种交易所安全事件和用户丢币事件，成都链安分析认为，交易所安全事件的问题来源主要有三点：1、用户安全意识不足，导致误入钓鱼网站等进而私密信息被盗。2、交易所安全体系不够完善，平台自身存在安全漏洞。3.交易所外接数据服务或其他服务后，未针对不可控因素建立应急机制。[2019/8/26]

△图2这里值得注意的是，攻击者向池中注入的是单一的USDT，因为池子的特性，我们知道，当一种代币的含量上升，其相对价格也就下降。3.攻击者取出yValut合约中存入的DAI，如下图所示：

△图3根据#2可知，此时的池子中因为USDT的含量增加，所以DAI的相对价格是上升的，这也就导致攻击者所持有的Curve代币兑换出的DAI相对下降，池子中将会余留少量DAI。4.攻击者指定与添加流动性时相等的USDT数量，进行流动性移除，注意这里因为#3时将一部分DAI取走，所以USDT的相对#2时价格下降，所以这里将余下一部分Curve代币。

△图4不断进行上述循环，这使得攻击者消耗DAI进而获取Curve代币。经过多次循环之后，攻击者套取了大量的Curve代币，而将DAI代币打入了Curve合约中。在整个攻击流程结束时，攻击者使用Curve代币，兑换出DAI/USDC。这次兑换，因为不是USDT的兑换，即使此时的DAI相对攻击前含量较高，也会按照同等比例进行兑换，也就是攻击者打入Curve池子中多出的DAI代币，也会分发给攻击者。这里，我们再来看攻击者在进行攻击时的第一步操作，如下图所示：

△图5攻击者利用闪电贷向池子中添加了巨量的流动性，这就导致这些多出的DAI，最终将会大部分分给攻击者。而除去这一部分损失，攻击者还获得了更多的Curve代币，从而获利。三、安全建议

针对本次事件，成都链安安全团队认为，很大程度上源于项目方潜在的合约漏洞未得到全面的安全排查，进而导致闪电贷攻击事件的发生。在此，成都链安需要提醒区块链各生态项目方，切不可因项目上线完成之后就掉以轻心，做好日常的安全排查和安全加固等工作，寻求第三方安全公司的力量，建立一整套的安全防护机制，防范于未然。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。