DeFi項目Yeld.finance稱該項目的DAI池遭受到閃電貸攻擊,但成都鏈安分析稱,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。
事件概覽
北京時間2021年2月27日,輿情監測到,DeFi知名項目Yeld.finance官方發出通告,表示該項目的DAI池遭受到閃電貸攻擊,原文鏈接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b
成都鏈安安全團隊第一時間介入響應,對原文中所提及的交易
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現,該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移,與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。
Bakkt 面向個人的應用將于 3 月 16 日停止服務:2月13日消息,數字資產平臺 Bakkt 宣布其面向個人的應用將于 3 月 16 日停止服務,未來將專注其 B2B 技術解決方案,即通過安全合規平臺上的 SaaS 和 API 解決方案,為企業的客戶提供加密貨幣和忠誠度解決方案。當前的 Bakkt App 用戶將保留對 Bakkt 平臺上所有加密貨幣和現金的訪問權限。用戶仍將能夠查看加密貨幣余額,以及出于計算稅收目的訪問加密貨幣交易報告。[2023/2/14 12:04:43]
事件分析**
Wsj.eth以16 ETH價格成交:金色財經報道,據以太坊域名服務交易數據顯示,wsj.eth已經以16 ETH的價格成交,約合 20,985.44 美元。據悉,買家是一個“0xC10c7a”開頭的新錢包地址,目前尚無法確定該買家是否是《華爾街日報》。[2022/9/24 7:17:41]
圖1交易信息
如圖1所示,該筆交易是名為0xf0f225e0的用戶,調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認,0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移,分別用T1到T6表示。那么,這些代幣轉移究竟是什么操作導致的呢?下面通過代碼進行分析:
V神新書《Proof of Stake》已獲得25,003筆捐款,累計金額達155.16 ETH:9月2日消息,據Dune Analytics數據顯示,截至目前,V神新書《Proof of Stake》已獲得來自23,576個獨立地址的25,003筆捐款,累計捐款金額達155.16 ETH。[2022/9/2 13:04:56]
圖2deposit函數源代碼
很明顯,第538行代碼,產生導致了序號為T1的代幣轉移,將token轉移到yDAI合約。這是一筆普通的代幣轉賬,表示用戶存入了9,377DAI到yDAI合約。
閃電網絡客戶端c-lightning發布0.8.2版本,移除0.16 BTC付款限額:金色財經消息,Blockstream的閃電網絡客戶端c-lightning團隊發布了0.8.2版本更新,主要體現在三個方面:Keysend付款、更大的支付通道和新的后端API。在Lightning Labs團隊發布Keysend功能之后,c-lightning緊隨其后為該功能提供了支持,Keysend 付款允許節點在不生成收款碼的情況下完成收款。該版本支持大通道支付,這意味著0.16個BTC的付款額度限制被移除了。另外,在該版本中后端bcli API向插件開發者開放,c-lightning節點可以有更多的區塊鏈數據源的選項。[2020/5/18]
第541-553行代碼,是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI,并在第554行進行鑄幣,對應序號為T2的代幣轉賬,表示yDAI合約向用戶鑄了9,306yDAI。
然后進入第555行的rebalance函數,分析該函數的邏輯。
圖3rebalance函數源碼
圖4recommend函數
第732行代碼會計算newProvider,該函數會調用recommend函數(如圖4所示),recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的項目,查詢結果如圖5所示:
圖5recommend查詢結果
其中dYdX池的APR最高,newProvider被設置為dYdX池。當前池為AAVE池,進入736行的if代碼塊,調用內部函數_withdrawAll。
圖6_withdrawAll函數源代碼
第778行代碼將會提出AAVE池中的所有DAI,產生了序號為T3-T5的代幣轉移,具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼,此處不再詳述。
最后是第741行代碼,將從AAVE中提出的16.6余萬枚DAI存入dYdX合約,產生了序號為T6的代幣轉移,即將16.6萬枚DAI存入dYdX池。
整個交易就此結束,可以看到,這次所謂的「閃電貸攻擊」只是「虛驚一場」。用戶只是單純的存入了一筆DAI,然后剛好觸發了Yeld.finance項目的策略機制,并不是所謂的「閃電貸攻擊」,可謂是鬧了場「烏龍事件」。
值得注意的是,dYdX在該事件中充當了一個「良心商家」的角色,并不是以往閃電貸攻擊中的幫兇。
安全建議
盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場,但在這里還是有必要提醒各項目方,依然需要在日常的安全防護工作中,對閃電貸攻擊加以預警和防范。
同時,作為致力于區塊鏈生態安全建設的成都鏈安也在此建議,項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量,搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。
Tags:DAINCEANCENDdai幣靠譜嗎Wrapped ConcealPussy FinancialKing of Legends
金色財經區塊鏈2月27日訊不斷上漲的“加密貨幣之王”比特幣近日受到重創,其價格于2月下旬再次失守5萬美元支撐位,本文撰寫時為47,571.37美元,7日跌幅達到14.5%.
1900/1/1 0:00:00主持人:今天邀請到了MCDEX聯合創始人Jean老板來BiKi社群做客,分享關于MCDEX的故事。首先請老板跟大家打個招呼并跟我們簡單介紹下MCDEX.
1900/1/1 0:00:00Polkadot與Cardano都將發布重要的網絡更新,從創始人、技術與代幣經濟等角度比較這兩個公鏈巨頭。2021年將是智能合約區塊鏈的一年.
1900/1/1 0:00:00金色前哨|內蒙古計劃4月底前全面清理關停虛擬貨幣挖礦項目影響幾何? 金色財經meio 剛剛 27 近日,內蒙古自治區發改委發布《關于確保完成“十四五”能耗雙控目標任務若干保障措施》.
1900/1/1 0:00:00如果你打算在信標鏈上質押ETH,你得先搞明白這個事情的全貌。很多文章寫的都是當質押者是件多么簡單、拉風、明智、體面的事,這里我想強調的是你在入坑之前需要接受的殘酷真相…… 部署難題 鑒于大多數人.
1900/1/1 0:00:00普通人的感覺是數字貨幣非常不穩定。雖然對于許多人來說的確如此,但有些代幣旨在降低波動性或穩定性,通常它們被稱為穩定幣.
1900/1/1 0:00:00