DAI:yearn finance被攻击手法公布，通过9步完成千万美元攻击

2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队跟进分析，并以简讯的形式给大家分享细节，供大家参考：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC

Nexus Mutual对此前“Yearn黑客攻击”支付超240万美元赔付，共销毁37,949.94枚NXM:2月28日消息，DeFi保险项目Nexus Mutual支付此前“Yearn黑客攻击”的保险理赔。Nexus Mutual表示，总共发起17笔索赔，其中3笔被拒绝，共支付2,410,499.26美元(1,351 ETH和129,660 DAI)，销毁37,949.94枚NXM。在此次支付前，质押在Yearn Finance的NXM数量为396,472.63枚，此次赔偿销毁的NXM占比为9.57%。

此前消息，Yearn v1 yDAI保险库遭到攻击，攻击者窃取280万美元。[2021/2/28 18:00:03]

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CruveDAI/USDC/USDT的大部分流动性

OKCoin：未受Yearn v1 yDAI vault遭攻击事件影响，资金安全:针对Yearn v1 yDAI vault遭攻击事件，OKCoin发推表示，根据调查，可以确认所有OKCoin的帐户和资金都是安全的。此前消息，2月4日，Yearn v1 yDAI vault遭到攻击，攻击者窃取280万美元。[2021/2/8 19:11:45]

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)贬值

Yearn.finance社区发起回购和重建Yearn的提案:据官方消息，Yearn.finance社区发起“回购和重建Yearn”的提案。该提案具体内容是：1.使用YFI质押奖励在公开市场上回购YFI，并将回购的YFI用于贡献者奖励和其他Yearn活动。2.撤消YFI治理金库（yGov），使其不再起作用。3.即使在其他地方使用YFI代币时也允许参与YFI治理，例如在SushiSwap中提供流动性。该提案目前已获得99.89%的支持率。[2021/1/17 16:20:59]

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例体现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者

9.重复上述3-8步骤5次，并归还闪电贷，完成获利。

参考攻击交易：https://etherscan.io/tx/0xb094d168dd90fcd0946016b19494a966d3d2c348f57b890410c51425d89166e8

标签：DAIUSDEARNYEARDAIIUSD价格RUNEARNYearn Finance Network

币安app官方下载最新版热门资讯