Yearn 遭到攻擊損失1100萬美元，目前該漏洞已得到緩解_DAI

PANews2月5日消息，YearnFinance官方發推文稱，已注意到v1yDAIvault遭到了攻擊，目前該漏洞已得到緩解，此后會發布完整報告。

Yearnfinance核心開發者Banteg發推表示：“如果不想蒙受損失，就不要從DAIv1vault中撤出。攻擊者獲得280萬美元，vault損失了1100萬美元。此外在調查期間將禁止存款存入v1DAI、TUSD、USDC、USDTvault。”

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

據網友Gene表示，DAI池丟失了1400萬美元，黑客的整個操作流程如下：

yearn.finance計劃于PowerPool推出YearnyTokens指數:1月15日消息，yearn.finance官方發推稱，社區發起最新提案，計劃在PowerPool生態系統中推出一個Yearn yTokens指數。該指數將為為ytoken創造資金流動性。[2021/1/15 16:13:15]

1.從dYdX通過閃電貸借入116KETH

yearn.finance將在3-4天后推出v2版本:7月24日消息，yearn.finance官方表示，將在3-4天后推出v2版本。目前，流動性挖礦越來越復雜，yearn.finance團隊發現v1版本正在僵化，已經無法納入一個利率較高新的借貸池。新推出的v2版本相比v1將更加簡潔，只需要登陸（checkin）就可以參與不斷增長的投資組合（v2會提供一切服務）。（Medium）[2020/7/24]

2.從AaveV2通過閃電貸借入99KETH

3.從Compound通過抵押借貸抵押上述ETH，借入134MUSDC和129MDAI

4.將134MUSDC和129MDAI從3crvCurvepool換走165MUSDT

5.以下重復5次

-將93MDAI放入yDAIvault

-將165MUSDT放入3crvpool

-從yDAIvault提取92MDAI

-從3crvpool取出165MUSDT

6.最后一次不再提取USDT，而是提取39MDAI和134MUSDC

7.償還Compound債務

8.償還Aave債務

Tags：DAIUSDEARNYEAPrime DAISUSDTweet To EarnYearn4 finance

比特幣價格實時行情