当前位置:首页区块链16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件

DeFi 项目 Yeld.finance 称该项目的 DAI 池遭受到闪电贷攻击,但成都链安分析称,该笔交易为 Yeld.finance 项目自身的策略机制而导致的资金转移,与闪电贷攻击无关。

原文标题:《16 万美元资产被盗竟是乌龙事件? | Yeld.finance“闪电贷攻击”事件简析》
撰文:成都链安

事件概览

北京时间 2021 年 2 月 27 日, 【链必安-区块链安全态势感知平台(Beosin-OSINT)】 舆情监测到,DeFi 知名项目 Yeld.finance 官方发出通告,表示该项目的 DAI 池遭受到闪电贷攻击,原文链接如下:

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b

成都链安(Beosin)安全团队第一时间介入响应,对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a) 进行分析。经分析后发现,该笔交易为 Yeld.finance 项目自身的策略机制 而导致的资金转移,与 闪电贷攻击 无关。闪电贷攻击表示不背这个锅。

事件分析**

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件图 1 交易信息

如图 1 所示,该笔交易是名为 0xf0f225e0 的用户,调用了 0xe780cab7ca8014543f194fc431e6bf7dc5c16762 合约的 deposit 函数 。经确认,0xef80cab7 合约正是项目方的 DAI 池。该笔交易一共产生了 6 笔 代币转移,分别用 T1 到 T6 表示。那么,这些 代币转移 究竟是什么操作导致的呢?下面通过代码进行分析:

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件1图 2 deposit 函数源代码

很明显,第 538 行代码,产生导致了序号为 T1 的代币转移,将 token (即 DAI)转移到 yDAI 合约。这是一笔普通的代币转账,表示用户存入了 9,377 DAI 到 yDAI 合约。

第 541-553 行代码,是 yDAI 合约用于计算用户存入的 DAI 应返回给用户多少 yDAI,并在第 554 行进行铸币,对应序号为 T2 的代币转账,表示 yDAI 合约向用户铸了 9,306 yDAI

然后进入第 555 行的 rebalance 函数 ,分析该函数的逻辑。

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件2图 3 rebalance 函数源码

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件3图 4 recommend 函数

第 732 行代码会计算 newProvider,该函数会调用 recommend 函数 (如图 4 所示),recommend 函数会调用 IEarnAPRWithPool 合约查询 4 个 Defi 项目 DYDX,COMPOUND,AAVE,FULCRUM 中,年利率 (APR) **的项目,查询结果如图 5 所示:

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件4图 5 recommend 查询结果

其中 dYdX 池 的 APR **,newProvider 被设置为 dYdX 池。当前池为 AAVE 池,进入 736 行的 if 代码块,调用 内部函数_withdrawAll

16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件5图 6 _withdrawAll 函数源代码

第 778 行代码将会提出 AAVE 池中的所有 DAI,产生了序号为 T3-T5 的代币转移,具体代码可参考 AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d) 合约 redeem 函数相关代码,此处不再详述。

**是第 741 行代码,将从 AAVE 中提出的 16.6 余万枚 DAI 存入 dYdX 合约,产生了序号为 T6 的代币转移,即将 16.6 万枚 DAI 存入 dYdX 池。

整个交易就此结束,可以看到,这次所谓的「闪电贷攻击」只是「虚惊一场」 。用户只是单纯的存入了一笔 DAI,然后刚好触发了 Yeld.finance 项目的策略机制,并不是所谓的「闪电贷攻击」,可谓是闹了场「乌龙事件」。

值得注意的是,dYdX 在该事件中充当了一个「良心商家」的角色,并不是以往闪电贷攻击中的帮凶。

安全建议

尽管本次事件经成都链安(Beosin)安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击 加以预警和防范

同时,作为 致力于区块链生态安全建设 的成都链安(Beosin)也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建 覆盖全生命周期的一站式安全解决方案 方为万全之策。

来源链接:mp.weixin.qq.com

温馨提示:

文章标题:16 万美元资产被盗竟是乌龙事件?成都链安简析 Yeld.finance 「闪电贷攻击」事件

文章链接:https://www.btchangqing.cn/201656.html

更新时间:2021年03月01日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

区块链

数据显示最近一次上涨由散户推动,我们刚进入牛市中期

2021-3-1 13:37:50

区块链

ZKSwap 回应 Matter Labs 的疑问

2021-3-1 13:41:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索