DAI:16 万美元资产被盗竟是乌龙事件？成都链安简析 Yeld.finance 「闪电贷攻击」事件

DeFi项目Yeld.finance称该项目的DAI池遭受到闪电贷攻击，但成都链安分析称，该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移，与闪电贷攻击无关。

事件概览

北京时间2021年2月27日，舆情监测到，DeFi知名项目Yeld.finance官方发出通告，表示该项目的DAI池遭受到闪电贷攻击，原文链接如下：

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b

成都链安安全团队第一时间介入响应，对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行分析。经分析后发现，该笔交易为Yeld.finance项目自身的策略机制而导致的资金转移，与闪电贷攻击无关。闪电贷攻击表示不背这个锅。

a16 Crypto首席安全官：黑客伪造“苹果公司”来电对大量Web3名人进行网络钓鱼攻击:11月26日消息，a16 Crypto首席安全官Nasse-nassyweazy.eth透露，目前有黑客伪造“苹果公司”电话对大量Web3名人进行网络钓鱼攻击。攻击者伪造来电显示为“Apple,Inc.”的号码并索取iCloud“恢复密码”，一旦得手就会窃取所有iCloud同步数据并要求受害者支付赎金。黑客还通过扫描文档/图片获取加密钱包助记词或密码，然后注册新地址转移和出售受害者钱包内全部有价值的加密资产并清空钱包。[2022/11/26 20:47:39]

事件分析**

BTC合约多空持仓人数比1.16 合约持仓总量为19亿美元:截至1月29日10:30，根据OKEx交易大数据，BTC合约多空持仓人数比为1.16，市场做多人数占据优势；季度合约基差在700美元上方，永续合约资金费率为负，交割及永续合约持仓总量为19亿美元，总体上多军占优；BTC交割及永续合约精英持仓方面，做多账户比为51%占据优势，精英账户多头持仓26.74%，精英账户多头占优，继续关注大户持仓变化。从期权合约数据来看，看涨/看跌主动买入量比为0.32，看涨/看跌主动卖出量比为0.98，主动看涨看跌卖出量占据优势。[2021/1/29 14:18:36]

图1交易信息

如图1所示，该笔交易是名为0xf0f225e0的用户，调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认，0xef80cab7合约正是项目方的DAI池。该笔交易一共产生了6笔代币转移，分别用T1到T6表示。那么，这些代币转移究竟是什么操作导致的呢？下面通过代码进行分析：

动态 | BTC合约多空持仓人数比为1.16 多空双方激烈拉锯中:截至12月13日10:30，根据OKEx合约大数据显示，目前BTC合约多空持仓人数比为1.16，季度合约基差13.99美元，永续合约基差2.49美元；BTC合约持仓总量5,589,359张，24h交易量14,841,377张；主动买入量190,778张，主动卖出量178,809张；精英账户做多账户比55%，多头持仓比20.9%，做空账户比43%，空头持仓比19.53%。

分析师表示，BTC合约多空持仓人数比为1.16，多空双方人数相对均衡，但多方人数小幅领先，季度合约基差保持在0附近，，持仓总量保持稳定，多空双方势力互不相让；BTC合约精英持仓方面，做多账户比与多头持仓比继续保持小幅领先，多军势力稍强但不明显。[2019/12/13]

动态 | 今日恐慌与贪婪指数为16 等级由贪婪转为极度恐惧:Alternative.me数据显示，今日恐慌与贪婪指数为16（昨日为61），恐慌程度大幅上升， 等级由贪婪转为极度恐惧。 恐慌指数由0至100，其中0表示“极度恐惧”，而100表示“极度贪婪”。[2019/7/15]

图2deposit函数源代码

很明显，第538行代码，产生导致了序号为T1的代币转移，将token转移到yDAI合约。这是一笔普通的代币转账，表示用户存入了9,377DAI到yDAI合约。

第541-553行代码，是yDAI合约用于计算用户存入的DAI应返回给用户多少yDAI，并在第554行进行铸币，对应序号为T2的代币转账，表示yDAI合约向用户铸了9,306yDAI。

动态 | 今日恐慌指数16 恐慌程度大幅提升:据Alternative.me数据显示，今日恐慌指数为16（昨日为21），恐慌程度与昨日相比有大幅度提升，恐慌等级仍然为极度恐惧。[2019/1/15]

然后进入第555行的rebalance函数，分析该函数的逻辑。

图3rebalance函数源码

图4recommend函数

第732行代码会计算newProvider，该函数会调用recommend函数(如图4所示)，recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中，年利率(APR)最高的项目，查询结果如图5所示：

图5recommend查询结果

其中dYdX池的APR最高，newProvider被设置为dYdX池。当前池为AAVE池，进入736行的if代码块，调用内部函数_withdrawAll。

图6_withdrawAll函数源代码

第778行代码将会提出AAVE池中的所有DAI，产生了序号为T3-T5的代币转移，具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码，此处不再详述。

最后是第741行代码，将从AAVE中提出的16.6余万枚DAI存入dYdX合约，产生了序号为T6的代币转移，即将16.6万枚DAI存入dYdX池。

整个交易就此结束，可以看到，这次所谓的「闪电贷攻击」只是「虚惊一场」。用户只是单纯的存入了一笔DAI，然后刚好触发了Yeld.finance项目的策略机制，并不是所谓的「闪电贷攻击」，可谓是闹了场「乌龙事件」。

值得注意的是，dYdX在该事件中充当了一个「良心商家」的角色，并不是以往闪电贷攻击中的帮凶。

安全建议

尽管本次事件经成都链安安全团队分析后被判断为虚假一场，但在这里还是有必要提醒各项目方，依然需要在日常的安全防护工作中，对闪电贷攻击加以预警和防范。

同时，作为致力于区块链生态安全建设的成都链安也在此建议，项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量，搭建覆盖全生命周期的一站式安全解决方案方为万全之策。

标签：DAIBTCANCNCEdai币靠谱吗btc百度百科Paprprintr FinanceToilet Finance

AVAX热门资讯