DRE:一文回顾YFI创始人Andre新项目遭黑客攻击事件

文章来源：matataki

作者：小岛美奈子

Mementotehominemesse：谨记你不过只是一个人。——《世界语言简史》，常被引用的拉丁语名言

这已经不是Andre第一次翻车了，今年早些时候，Andre在刚开始构建yCrv的时候，就发生过一次事故，使得一个早期用户损失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

这件事件之后，Andre的置顶推文就是那则著名的Disclaimer。

Celo基金会加入绿色体育联盟GSA:8月9日消息，Celo基金会宣布加入绿色体育联盟（GSA），致力于创建可持续未来，Celo社区项目将为GSA活动提供支持：房地产行业脱碳平台Carbon Title将支持GSA团队和场馆所有者测量其建筑物的碳影响；内置区块链技术的碳中和平台flywallet将供GSA团队购买碳中和等。

GSA（Green Sports Alliance）是一个以环保为重点的贸易组织，召集全球体育利益相关者、动员体育组织、社区、运动员和球迷创建可持续社区。[2023/8/9 21:33:44]

而就在本月中旬，YFI的社区项目SAFE也发生了内幕交易，提前买入了大额保单。虽然不是Andre的直接责任，但依然对YFI的社区造成了一定影响。

昨天发生的事故无论是损失金额，还是波及的人数，都比前几次事故要远远严重。而且事故原理也更加简单，简直可以作为Flashloan的入门教程了。以至于Andre都写不出像样的Postmortem来进行说明。

Terra新任临时CEO：未来几个月将发布大约九个处于不同开发级别的不同项目:金色财经报道，Terra新任临时首席执行官 Chris Amani 表示，Terraform Labs面临着一座需要攀登的大山，因为对Do Kwon的频繁指控不断阻碍其各个项目的开发进度。关于Terra目前的开发，Amani透露，未来几个月将发布“大约九个”处于不同开发级别的不同项目。[2023/7/24 15:54:20]

事故原理

Flashloan大家一定已经不陌生了，在今年EtherDenver期间，DeFi项目bZq就曾连续发生数次事故。其中第二次攻击并不是合约代码的漏洞，而是利用了合约设计的缺陷——所有合约都按照预定的设计在执行工作，但当这些合约组合时却形成了无风险套利的可能。因为攻击者需要在一笔tx内同时完成「借款」和「还款」的操作，因而这种攻击方法被称之为闪电贷??。DragonFly的研究员HaseebQureshi就曾撰文，称这种类型的攻击将会成为DeFi开发中的「新常态」。

Arbitrum前首席营销官Andrew Saunders加入Hash Flow担任CMO:金色财经报道，去中心化交易协议Hash Flow官方宣布Arbitrum前首席营销官Andrew Saunders已正式加入HashFlow担任首位CMO，Andrew将领导Hashflow在全球范围内的所有营销、增长和传播工作。

Andrew在加入Arbitrum之前，在亚马逊的全球品牌营销团队工作，帮助建立了亚马逊的娱乐和文化营销实践，在那之前，他是Tastemade的全球品牌战略和营销主管，还曾担任NBCUniversal的内容创新和创意副总裁，并共同创立了Creative Artists Agency的品牌合作部门。[2023/4/26 14:28:00]

事故合约

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

Maple Finance计划推出美国国债借贷池:金色财经报道，加密借贷协议 Maple Finance 首席执行官 Sid Powell 在周二的协议社区电话会议上表示，Maple Finance 正准备推出一个投资于美国国债的借贷池，Maple 的资金池将允许美国境外的合格投资者和公司国债投资链上的美国国债。Powell还表示，Maple 计划在今年晚些时候就其原生代币 MPL 的新代币经济学和实用性举行一次社区投票。

根据DefiLlama的数据，该协议的总锁仓价值 (TVL) 从去年 5 月的 9.3 亿美元降至 4000 万美元。MPL 代币从去年 4 月的历史高点 68.2 美元暴跌至 4 美元。[2023/4/12 13:57:33]

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

日本游戏巨头Square Enix总裁：将坚持区块链投资战略:金色财经报道，日本游戏巨头SquareEnix总裁Yosuke Matsuda在其年度信函中表示，SquareEnix致力于在全球范围内发展其高清游戏业务，并将坚持区块链投资战略。在新业务领域方面，该公司表示将投资于三个领域。其中，它最关注的是区块链娱乐。

他补充说，从外部来看，区块链作为一个领域在2022年获得了重大认可，Web3.0成为商业人士中牢固确立的流行语就是证明。此外，Yosuke Matsuda表示，该公司有多个基于原创IP的区块链游戏正在开发中，其中一些是去年宣布的，该公司准备在今年推出更多游戏。[2023/1/1 22:19:17]

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

我们可以看到黑客一共发起了三次CreateContract操作，并且再得手之后，还还回去一半。

再看一些具体的受害者Case，比如这位老哥花了390个ETH去买EMN，一个小时之后只卖回了1个。

再比如这位推上的老哥@spzcrypto。。。前几个小时还在转推@eminencefi的状态。。下一则推就gotrekt了==。。。。

看上去也根本不像是演的。类似的受害者想必不在少数。

虽然攻击合约没有开源。。但是死观察这些tx的内联转账可知。。。这是一个标准的闪电贷??过程。。。。很容易把攻击原理还原出来，下面这则thread详细的描述了攻击经过：

如果你困惑于黑客是如何成功榨干$EMN合约的，这里是具体的机制。EMN合约允许你用DAI作为储备金，铸造EMN。它使用标准的类似Bancor的曲线——DAI被用作EMN的储备货币，EMN代币的价格由EMN的数量与储备货币中的数量决定。

第二种代币，eAAVE也类似，但有一个小而重要的不同——它是用EMN作为储备货币，但却是「虚拟的」——如果你通过向它发送EMN代币来铸造eAAVE，而不是将你的EMN存储在储备中，eAAVE合约实际上会销毁EMN。这种相互作用使得攻击者可以进行以下交易。下面是完整的攻击过程：

从Uniswap中闪电贷??出15m的DAI。

用你的DAI铸造尽可能多的EMN。

用一半的EMN铸造eAAVE。这将消耗EMN，减少总供应量，从而抬高EMN的价格。

以10m的价格卖出你的后一半EMN。

现在卖出你的eAAVE，取回你的前一半EMN，降低EMN的价格。

以6.649m的价格卖回你的前一半EMN。

向Uniswap归还15m的闪电贷??，享受1.67m的利润。

重复以上策略三次。

黑客能在如此短的时间里发现合约的漏洞，因而社区猜测也是一次内线作案。虽然说TestinProd是Andre的标准做法。但是今天的Andre头顶YFI之父的光环，其对社区的影响以不可同日而语。正所谓力量越大责任也越大，发生这样的事故，Andre本人其实难辞其咎。

后续

YFI的币价受此事故牵连，昨日大跌16%。

Andre本人也表示收到了许多受害者的私信人身威胁。随后Andre表示将会永久封存自己使用已久传奇账号Yearn.Deployer。并不再使用TwitterShill自己的新项目。

同时Andre也失去了他的左膀右臂。。。YFI社区KOL，第一时间shill并目睹了被骇全过程的@Bluekirby。。。。蓝色星之卡比表示自己将从YFI社区中辞职。

截止目前，该事件的影响依然在发酵中。

标签：DRENDRAND区块链DrEE价格rndr币为什么没人说CandyBooty区块链最直白的解释

LTC热门资讯