木星链 木星链
Ctrl+D收藏木星链
首页 > 莱特币 > 正文

DAI:16万美元资产被盗竟是乌龙事件?Yeld.finance“闪电贷攻击”事件简析

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间2021年2月27日,舆情监测到,DeFi知名项目Yeld.finance官方发出通告,表示该项目的DAI池遭受到闪电贷攻击,原文链接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b?

成都链安安全团队第一时间介入响应,对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现,该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。闪电贷攻击表示不背这个锅。

报告:2030年代币化非流动资产总规模或超16万亿美元:金色财经报道,根据波士顿咨询集团 (BCG)和ADDX发布的最新报告显示,预计到2030年,代币化非流动资产的总规模可能达到 16.1 万亿美元,非流动资产主要包括上市前股票、房地产、私人债务、中小企业收入、实物艺术品、异国情调的饮料、私人基金、批发债券等。

根据该报告,链上资产代币化市场规模在2021年超过23亿美元,预计到2026年可以达到56亿美元。此外,数据显示过去两年中,全球数字资产日交易量已从2020年的300亿欧元飙升至2022年的1500亿欧元。(cointelegraph)[2022/9/13 13:25:51]

二、事件分析

OpenSea黑客主流项目获利超416万美元:2月20日消息,据统计,目前黑客疑似通过网络钓鱼邮件窃取上百个 NFT,其中主流 NFT 项目和数量分别为:Azuki*37、BoredApeKennelClub*4、BoredApeYachtClub*3、CloneX*6 、Cool Cats*5、Doodles*11、mfer*9、NFT Worlds*25、MutantApeYachtClub*4,按相关项目地板价计算,总价值达 1543.07 ETH(约合 416.6 万美元)。(区块律动)[2022/2/20 10:03:57]

△图1?交易信息

58COIN小贝:58矿池矿机超过16万台 丰水期每天降本138万:今晚,58COIN市场总监小贝做客媒体直播间,透露:我们大概有16万台以上的矿机,丰水期的到来,意味着电力产量达到高峰,同时也意味着一直居高不下的电力成本将骤降至0.2元甚至更低,我们矿池每天大概能降低138万以上的成本,一个月能减少约4000万的成本。我们也提前采购了一批最新矿机,针对矿场的温度、湿度、降噪隔尘等,也提前做了调控。[2020/6/11]

如图1所示,该笔交易是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移,分别用T1到T6表示。那么,这些代币转移究竟是什么操作导致的呢?下面通过代码进行分析:

动态 | 红杉中国捐赠16万件口罩、医用手套和消液:红杉中国筹措16万件口罩、医用手套和消液,直接投递至筹建中的火神山医院。(红杉中国)[2020/1/27]

△图2?deposit函数源代码

很明显,第538行代码,产生导致了序号为T1的代币转移,将token转移到yDAI合约。这是一笔普通的代币转账,表示用户存入了9,377DAI到yDAI合约。

第541-553行代码,是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表示yDAI合约向用户铸了9,306yDAI。

然后进入第555行的rebalance函数,分析该函数的逻辑。

△图3?rebalance函数源码

△图4?recommend函数

第732行代码会计算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询结果如图5所示:

△图5?recommend查询结果

其中dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。

△图6?_withdrawAll函数源代码

第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币转移,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。

最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。

整个交易就此结束,可以看到,这次所谓的“闪电贷攻击”只是虚惊一场。用户只是单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的策略机制,并不是所谓的“闪电贷攻击”,可谓是闹了场乌龙事件。

值得注意的是,dYdX在该事件中充当了一个“良心商家”的角色,并不是以往闪电贷攻击中的帮凶。

三、安全建议

尽管本次事件经成都链安安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击加以预警和防范。

同时,作为致力于区块链生态安全建设的成都链安也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建覆盖全生命周期的一站式安全解决方案方为万全之策。

标签:DAICOMDYDXYELCDAI币COMPDydx币合理估值YELD币

莱特币热门资讯
Huobi Global将于3月1日21:00暂停ADA充提业务

尊敬的用户:ADA(Cardano)将于网络251出块时期进行主网升级。HuobiGlobal支持本次主网升级,并将于2021年3月1日21:00(GMT8)暂停ADA的充币和提币业务.

1900/1/1 0:00:00
BTC:BTC-e 局:偷天换日,亿万美元洗白记

作者:MarioChristodoulou、GeoffThompson和BenjaminSveen,ABC新闻。译者:烤仔AlexanderVinnik摊上了大麻烦.

1900/1/1 0:00:00
LON:席幕枫:3.1比特币重回5万牛回头? 高位再无接盘侠

多言不可与谋,多动不可与久处,交易与其冲动,还不如一动不动!大家好,我是席幕枫。心存阳光必有诗与远方,认识老席何惧再遇荒凉?席幕枫:3.1比特币行情分析大饼,昨日晚间弱势走跌,午夜触及43000.

1900/1/1 0:00:00
AEX:AEX安银恢复FIL充提币公告

亲爱的AEX小伙伴:此前由于FIL节点升级,钱包维护,暂停FIL充提币服务。现已升级完成,自发布公告起已恢复充提.

1900/1/1 0:00:00
ARG:Argo区块链从Celsius Network安装了4,500台加密矿机

在英国上市的ArgoBlockchain表示已安装了CelsiusNetwork的4,500台加密货币采矿机.

1900/1/1 0:00:00
GAT:Gate.io 已发NSBT超级空投福利活动奖励公告

Gate.ioNSBT超级空投福利活动已圆满结束,根据活动规则,我们已为符合规则的用户发放了活动奖励。用户可进入“账户管理—我的资金—账单明细”查询奖励发放情况。活动详情及规则请点击查看.

1900/1/1 0:00:00