DeFi 協議 Yearn Finance 於今(5)日稍早遭駭,Yearn Finance 官方推特在今早 6 點發文指出,v1 yDAI 資金庫遭到駭客攻擊,損失約為 1,100 萬美元,後續將會有完整報告。
(前情提要:Defi宇宙膨脹|增發「6,666 YFI」提案通過!總價值 2.2 億美元,幣價上漲 5%)
(背景補充:陳品專欄|一文帶你解析「新型態」Defi流動性挖礦,暴漲100倍的 yearn 和 mStable)
Yearn Finance 開發者繼網站管理員 banteg 隨後在推特解釋了細節,其指出,駭客共獲得 280 萬美元,而 Yearn Finance 的v1 yDAI 資金庫則是損失 1,100 萬美元。
banteg 推文寫道:
「DAI v1 資金庫漏洞受駭客利用,駭客獲利 280 萬美元,資金庫損失 1,100 萬美元。在我們調查期間,v1 DAI、TUSD、USDC、USDT 資金庫都將暫停存款。」
Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m
— banteg (@bantg) February 4, 2021
詳細過程
雖然官方還未公佈後續報告,但已有研究員整理出 Yearn Finance 是如何被駭的。
《The Block》研究員 Igor Igamberdiev 認為這是一次「閃電貸」(Flash loan)攻擊:
「好的,又有新的 DeFi 攻擊事件了。
這次的受害者是 @iearnFinance。
駭客共套利 51.3 萬枚 DAI、170 萬 USDT,還有餘下的 50.6 枚 3crv 代幣。為了獲得這樣的利潤,駭客共執行 11 次交易。」
閃電貸是只在一個區塊交易中有效的貸款,如果借款人在交易結束前沒有償還這筆貸款,那麼閃電貸款就是失敗的,不會被執行。這是因為如果沒有滿足償還條件,區塊鏈不會執行這筆交易。而閃電貸的資產來自一個公共的智能合約資金池,目前較為知名且流行的是由 Aave 和 dYdX 提供的資金池。
延伸閱讀:科普|究竟什麼是閃電貸?DeFi 近一個月就連爆 4 起相關攻擊
Igor Igamberdiev 在推特寫下詳細過程:
- 從 dYdX 閃電貸借出 11.6 萬枚的 ETH
- 從 Aave 閃電貸借出 9.9 萬枚的 ETH
- 將兩筆資金抵押在借貸平台 Compound,並借出 1.34 億美元的 USDC 和 1.29 億的 DAI
- 將 1.34 億美元的 USDC 和 1.29 億的 DAI 存入 3crv Curve 資金池
- 從 3crv Curve 資金池拿出 1.65 億美元的 USDT
- 存入 9,300 萬 DAI 至 y DAI 資金庫
- 存入 1.65 億美元至 3crv Curve 資金池
- 從 y DAI 資金庫提款 9,200 萬美元的 DAI
- 從 3crv Curve 資金池拿出 1.65 億美元的 USDT(6-9 步驟重複 5 次)
- 歸還 Compound 借款,取回抵押品
- 歸還閃電貸借出的 ETH
在上述過程中,駭客每次攻擊時,都會獲得大量地 3 crv 代幣,用以換取大量的穩定幣。
YFI 暴跌
遭駭事件曝光後,也立即反映在幣價上。據幣安交易所數據,Yearn Finance 的治理代幣 YFI 在兩小時內從最高 34,985 美元下跌至最低 29,574 美元,跌幅達 15%。
目前 YFI 價格略有回升,截稿前報 31,172 美元。
– 圖片來源:幣安交易所 –
📍相關報導📍
麻吉大哥興奮宣布:YFI跟Cream合併!共造Cream V2,Yearn Finance宇宙漸成型?
YFI 托拉斯宇宙?Andre Cronje 主導的「合併」項目均大幅上漲
YFI 宇宙|Cream 鐵金庫 Iron Bank 新型借貸平台,誰能坐上鐵王座?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
