yDAI受创 Curve“喜”收意外之财
两级反转?黑客攻击 yDAI 保险库后,Curve 坐收渔翁之利。
北京时间 2 月 5 日,Yearn Finance 发推文表示 v1 yDAI 保险库遭到攻击。
Yearn Finance 核心开发者 @banteg 表示:“保险库被利用,攻击者获得 280 万美元,保险库损失 1100 万美元。在我们调查期间,v1 DAI、TUSD、USDC、USDT 保险库的策略存款将禁用。”
PeckShield (派盾)通过追踪和分析发现,此次攻击与此前安全研究员 Wen-Ding Li (李文鼎)所披露的在 Yearn.finance 的 TUSD Vault 上发生的快速贷款攻击漏洞相似。
首先,攻击者从 dYdX 和 AaveV2 借出闪电贷;
随后,攻击者利用所借资产通过对 3pool 的存取操作导致其中代币不平衡;
接下来,攻击者将 DAI 存放至 yDAI 保险库中,触发继续投资到受影响的策略投资中,恶化了 3pool 中不平衡交易的状态,攻击者立即从恶化的不平衡状态中获利;
攻击者重复利用上述步骤并且避免触发 0.5% 的滑点控制,最终偿完一开始的闪电贷,造成 yDAI 保险库损失 1100 万美元。
值得注意的是,受影响的策略有执行滑点控制,但目前没有提币费用(原本为 0.5% 的提币费),这使得漏洞有利可图。为了避免触发滑点控制,攻击者反复利用上述步骤,确保攻击成功。攻击发生后,Yearn Finance 立即禁用保险库策略。
做遏制 DeFi 借贷波动利率 “无形的手”?Yearn Finance 保险库还不够保险。
2020 年 9 月底 Yearn Finance 的开发人员就曾披露修补了可能会使 yDAI,yTUSD 和 yUSD 保险库的资金面临风险的漏洞。11 月 TUSD Vault 上出现的快速贷款又出现同类攻击漏洞后,所幸迅速修复。多次修修补补后,仍未逃过一击。
PeckShield(派盾)安全公司多次提醒,项目方不仅要将代码做到极致,还要防患于未然,一旦 有 DeFi 攻击事件发生,就要自查代码,及时查缺补漏。
截至目前,Yearn Finance 核心开发者 banteg 表示,黑客已经窃取了 51.3 万枚 DAI 和 170 万美元的 USDT,其余的以 CRV 代币的形式存在。
Aave 创始人 Stani Kulechov 则表示,这次攻击包含一个复杂的漏洞,涉及多个 DeFi 平台的 160 多笔交易,花费了逾 5000 美元的 Gas 费用。
风投投资者 Julien Thevenard 指出,从 vault 被盗的资金中,有超过 300 万美元被 DeFi 贷款平台 Curve 上的流动性提供商接收。
yDAI受创 Curve“喜”收意外之财相关推荐
- 铁路交通系统安全堪忧:丹麦国家铁路运营商DSB和RENA售票网站接连受创
你可曾想过,如果黑客入侵了交通系统,成功地将列车.交通信号.可变信息牌统统变成他们的玩具,那将会带来怎样严重的后果?然而,这种担心并非空穴来风! 网络安全专家称,交通运输系统是网络罪犯眼中诱人的果实, ...
- OTA平台数智化赋能单体酒店,用“轻改造”创“高营收”!
"不影响酒店正常营业的情况下,我们客房智能设备升级了,还增加了额外增值收益,总营收增长基本达到35%以上."这便是某家仅50+客房的单体酒店,入驻国内头部OTA平台后的经营状态. ...
- 90后老板用低代码整顿旅行社,创2000万年收,他是怎么做到的?(真实)
热爱旅游的92年成都小伙猴哥,大学毕业后开了一家旅行社,主要从事川藏.云南定制游服务. 从今年春节开始,国内各地旅游业开始复苏,向旅行社打电话咨询的人越来越多. 旅游的人多是好事,也是一种烦恼,因为咨 ...
- 创新奇智公布2021年财报:近三年亏损超4亿元,徐辉对不住投资人
近日,青岛创新奇智科技集团股份有限公司(下称"创新奇智", HK:02121)公布2021年年度业绩.据贝多财经了解,这是创新奇智自2022年1月27日上市后公布的首份财报,也是首 ...
- 创梦天地2014年Q3财报:乐逗游戏收入2.945亿元
乐逗游戏母公司创梦天地(Nasdaq:DSKY)昨日发布公司上市以来首份季度财报.报告显示,创梦天地第三季度总营收为2.945亿人民币元(约合4800万美元),较去年同期增长276.2%,第三季度净利 ...
- Q2营收利润均创历史新高,逆势之下苹果为何大象起舞?
北京时间7月31日美股盘后,苹果对外公布2020年第三财季季报.因新冠疫情影响,苹果在近二十年来首次未能提供本财季的指引,这使得这份财报备受外界瞩目.自3月以来,苹果股价已经从最低点上涨了80%.考虑 ...
- Q4营收激增49%创季度新高,“妖股”Roku有何魔力?
2月13日,流媒体聚合平台Roku公布了其2019年第四季度的财报.数据显示,期内营收4.112亿美元,同比增长49%,远超华尔街普遍预期的3.92亿美元,并创季度营收新高:每股收益亏损13美分,比预 ...
- 中国最富包租婆!每年坐地收租200亿,身家相当于十个老干妈
来源:华商韬略 ID:hstl8888 作者:周瑞华 豪门不易! 她一生隐于家族企业的幕后,但影响力却从未消失. 神秘女富豪 2020年8月,一位住在香港港岛山顶的90岁老人,接到一通陌生电话. 电话 ...
- linux 串口八字节,四柱推命基本法则源头、收局、阻节
首先看何处起源,然后顺序相生,至何处为住.中间最关键的地方,即为用神.若四柱始终有流有止,流在该流之处,止在该止之地,相生有情,互相护卫,即有一种顺粹之精神,但极不易得. 四柱推命必须掌握的两个基本法 ...
最新文章
- 元数据驱动的微服务架构(上)
- linux常用命令汇总
- 抢占大数据产业发展先机
- C#类、接口、虚方法和抽象方法-虚拟方法与抽象方法之区别
- Environment variable ORACLE_UNQNAME not defined错误解决
- 写一个不能被继承的类(友元的不可继承性)
- 关于玻璃体手术的最终建议
- 【Flink】报错 KryoException ConcurrentModificationException StackOverflowError
- 为什么开发环境如此之乱
- python 安装pandas_Python安装的正确姿势(视频教程)(pip命令安装Pandas、Numpy、jupyter)...
- 从海报视觉到网页设计
- 二分类模型评价指标-总结
- java定时器quartz表达式,quartz定时任务cron表达式
- mvc:annotation-driven
- App Store 评分和评论:用户评论如何影响 App Store 排名
- 啤酒与尿布:数据分析相关性分析案例一
- 准确的找到BAT实习机会~我入职了腾讯
- 安卓版按键精灵内存读取游戏人物的坐标详细教程
- PYNQ裸跑之读写SD卡
- matlab有一座小山,那里,有一座哭泣的小山作文1000字