Yearn因黑客攻击而损失1100万美元,这是如何发生的?_YEA:POLX价格

"2月5日,YearnFinancev1版本的yDAI机池漏洞被利用,损失1100万美元,该名攻击者总共获得51.3万DAI、170万USDT和50.6万3CRV,大约280万美元。目前团队正在针对此次事件进行调查,暂时禁用了在机池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5点左右,yearn官方在推特上表示,

“我们已经注意到yearnv1yDAI机池出现了一个漏洞。该漏洞已得到缓解。之后将发布漏洞报告。”

Yearn社区发起启动V3提案,拟推进协议完全去中心化并改进基本结构:金色财经报道,DeFi收益聚合器Yearn Finance的社区发起启动Yearn V3的YIP提案,拟启动完整的V3系统,使任何人都可以无需许可地部署V3金库和策略。该提案指出,V3开发的核??心目标是对V2进行重大升级。V3的最终状态应该是一个完全去中心化的协议,为链上资本配置提供更安全、更值得信赖的基础设施。为了实现这一目标,Yearn贡献者概述了V3需要满足的四个关键要求:1.在启动时进一步去中心化,并随着时间的推移逐步实现去中心化。3.简化策略编写。3.比Yearn的V1策略产品更好。4.比Yearn的V2托管金库更好。Yearn V3的首个合约版本“3.0.0”已部署在以太坊主网、Polygon、Optimism和Avalanche上,但重点最初将放在Polygon上,带证明此版本稳定后在公开推动其他链。[2023/8/16 21:26:43]

Yearn核心开发者banteg随后发布信息表示,

Yearn.Finance 创始人呼吁严格的加密监管:10月27日消息,Yearn.Finance 创始人Andre Cronje发文表示,加密货币行业应该像传统金融一样受到严格监管。这将确保强有力的消费者保护,同时也将提供急需的补救措施。Cronje列举了传统金融中可用的各种保障措施,包括中央银行保险和审慎监管。

Andre Cronje指出,加密货币目前作为银行运营。然而,它们实际上并没有提供任何保障,这会助长行业中不负责任的行为体。Andre Cronje认为,对行业实施审慎标准将有利于加密货币,因为这将导致长期市场稳定。它还将为消费者提供一个“清晰的途径”来行使他们的权利。(U.Today)[2022/10/27 11:48:35]

“YearnDAIv1机池被黑客攻击,攻击者已获得280万美元,整个机池损失了1100万美元。在我们调查期间,针对v1DAI,TUSD,USDC,USDT机池的策略存款将会被禁用。”

YFI创始人:Yearn和Akropolis达成合作,Akropolis可使用Yearn,Pickle和Cream产品:YFI创始人Andre Cronje表示,Yearn和Akropolis达成合作,Yearn将继续开发一流的Vault和借贷协议解决方案。Akropolis成为前台机构服务提供商,提供定制的客户网络接入服务,并为客户量身定制投资策略。协同作用:Akropolis和Yearn合并开发资源;Akropolis和Yearn TVL增加;Akropolis可使用Yearn,Pickle和Cream产品,并可将其DCA解决方案与这些产品集成;Yearn可以使用Akropolis制定的新投资策略;Yearn获得了Akropolis业务发展的专业知识,并获得了机构客户网络的支持。[2020/11/30 22:37:18]

banteg还表示,yearn团队对这次攻击的应对反应迅速,从发现到实施缓解总共用时10分钟14秒,将原本可能导致3500万美元损失降低到1100万美元。

在这次漏洞攻击中,攻击者拿走了280万美元,而另外超过300万美元资金流向了Curve质押者。

黑客攻击手法

TheBlock研究分析师IgorIgamberdiev表示,攻击者在这次漏洞中总共执行了11个步骤。

1/通过闪电贷从dYdX借来11.6万ETH

2/通过闪电贷从Aavev2借来9.9万ETH

3/使用ETH作为抵押品借入1340万USDC和1290万DAI

4/在3crvCurve池中添加1340万USDC和360万DAI

5/从3crvCurve池中提取1.65亿USDT

6/以下操作重复5次:

-将930万DAI存入yDAI机池

-将1650万USDT添加到3crv池中

-从yDAI机池中提取920万DAI

-从3crv池中提取1.65亿USDT

7/最后一次取款3900万DAI和1.34亿USDC,而不是USDT

8/偿还Compound借贷

9/偿还闪电贷

攻击者每次重复操作的时候就会拥有更多3crv代币,然后将其兑换为稳定币。有意思的是,竟然使用了这么多次闪电贷。预计会有新的关于闪电贷的演讲文章会很快发布。

截止目前,yearn还未发布关于这次攻击的详细漏洞报告,具体资金流向还不清楚。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-6:58ms