Primer lanzamiento | Yearn.Vulnerabilidad impactante financiera DeFi golpeó nuevamente.Este artículo lo llevará a conocer toda la historia

El 5 de febrero, según datos de DeBank, el volumen real de bloqueo de DeFi superó los 47 000 millones de dólares estadounidenses, un récord. Al momento de escribir este artículo, era de 47 830 millones de dólares estadounidenses, equivalente a aproximadamente 309 500 millones de yuanes.

2020 es conocido como el "primer año de DeFi". DeFi ha logrado una explosión histórica impulsada por la "minería de liquidez" iniciada por Compound, pero sus riesgos de seguridad siguen siendo altos.

En la madrugada del 5 de febrero, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió un ataque al proyecto DeFi Yearn.Finance. La pérdida total del ataque fue de 71 millones de RMB, y el hacker ganó alrededor de 18 millones de RMB de eso.

Los piratas informáticos obtuvieron fondos para iniciar el ataque a través de préstamos rápidos y explotaron lagunas en el código del proyecto Yearn para completar todo el ataque.

El Banco Central de las Colonias Africanas Francesas: La adopción de Bitcoin en África Central tendrá un "impacto negativo significativo" en el sistema del franco colonial: Golden Finance News, según BitcoinMagazine tuiteó que el Banco Central de las Colonias Africanas Francesas envió una carta al presidente de la República Centroafricana, diciendo que su adopción de Bitcoin tendrá un "impacto negativo sustancial" en el sistema del franco colonial.

Como se informó anteriormente, el presidente de la República Centroafricana autorizó oficialmente las criptomonedas como moneda de curso legal y los pagos de impuestos se aceptarán en criptomonedas. [2022/5/9 2:59:44]

Captura de pantalla de las ganancias del atacante

El ataque incluyó un total de transacciones lucrativas de 11 mediante la explotación de vulnerabilidades y transacciones de token de conversión de 3. La lista de transacciones es la siguiente:

Número de serie

Propósito de la transacción

Beneficio comercial

En vivo | V Dios: los acumulativos y la fragmentación combinados con Ethereum TPS pueden alcanzar de 25 000 a 100 000: informe en vivo de Jinse Finance, la primera Cumbre de Desarrollo e Innovación Tecnológica Global de la Red de Servicios Blockchain (BSN) y la Conferencia de Innovación Tecnológica Blockchain de Hubei celebrada en Wuhan el 27 de noviembre . Vitalik, el fundador de Ethereum, pronunció un discurso de apertura en la reunión y dijo que los rollups pueden mejorar la escalabilidad y aumentar el TPS de Ethereum de 15-45 a 1000-4000. La combinación de acumulaciones y fragmentos puede aumentar el TPS de Ethereum de 25 000 a 100 000. También dijo que los paquetes acumulativos están casi listos, pero que la fragmentación llevará más tiempo. Una de las razones por las que las empresas utilizarán cadenas privadas es que la escalabilidad de las cadenas públicas es muy baja, pero Ethereum 2.0 tendrá una escalabilidad muy buena. [2020/11/27 22:19:49]

3Crv:349852, USDT:11305

3Crv: 316814, USDT: 11833

3Crv: 287544, USDT: 11818

3Crv:258554, USDT:11761

3Crv: 276366 USDT: 11472

3Crv: 249387, USDT: 11242

Convierta la mitad del total de 3Crv obtenido en las primeras 6 transacciones en USDT para obtener ganancias

869,260 3Crv a 878,188 USDT

3Crv:226448, USDT:11242

3Crv:198877, USDT:12302

3Crv:172524, USDT:11987

Convierta la mitad del monto total restante de 3Crv obtenido de la transacción actual en USDT para obtener ganancias

733.555 3Crv a 742.042 USDT 

3Crv:152217, USDT:11570

3Crv:127856, USDT:11017

Convierta todos los 3Crv restantes a DAI para obtener ganancias

506.814 Crv a 513.356 DAI  

Excepto por las 3 transacciones de conversión de tokens, las 11 transacciones restantes con fines de lucro apuntaron a la misma vulnerabilidad y utilizaron el mismo método de ataque para completar la ganancia.

El diagrama de flujo general del ataque es el siguiente:

Los pasos específicos son los siguientes:

Use préstamos rápidos para obtener el capital inicial necesario para el ataque.

Usando las lagunas en el contrato Yearn.Finance, deposite y retire repetidamente DAI y USDT de 3crv para obtener más tokens 3Crv. Estos tokens se convirtieron en monedas estables USDT y DAI en las siguientes 3 transacciones de tokens de conversión.

Después de completar 5 operaciones repetidas de depósito y retiro de DAI y USDT de 3crv, reembolse el préstamo flash.

El equipo de tecnología de seguridad de CertiK está revisando actualmente las vulnerabilidades en Yearn.Finance, y se explicarán más detalles de las vulnerabilidades en análisis posteriores.

Consejos de seguridad

Las interacciones en el mundo encriptado suelen ir acompañadas de ciertos riesgos, y la inversión en proyectos seguros obtendrá beneficios a más largo plazo.

Y los altos rendimientos deben ir acompañados de altos riesgos.El brote de esta vulnerabilidad también es una advertencia en el campo DeFi.

CertiK recomienda:

Garantía de seguridad completa = auditoría de seguridad + detección en tiempo real + protección de activos

Tags：

NEAR