FIN:Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_France Rev Finance

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

數據：Yearn Q3營收1520萬美元，同比增長470%:10月16日消息，Variant Fund投資人、Our Network作者Spencer Noon發推稱，數據顯示，Yearn的TVL達到54億美元，創歷史新高。第三季度營收為1520萬美元，同比增長470%。目前，0x API已經在4個不同的區塊鏈上積累了160萬個交易者錢包。[2021/10/16 20:33:51]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

BiKi平臺今日20:00上線Yearn Finance One:據BiKi官方公告，平臺今日20:00上線Yearn Finance One (YFO)，并開放YFO/USDT交易對。

YFO旨在搭建一個圖靈完備的去中心化金融生態系統，通過分布式開源協議建立一套具有透明度、可訪問性和包容性的點對點金融系統，將信任風險最小化，讓全球用戶都可以隨時隨地進行金融活動。[2020/12/29 16:00:58]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

yearn.finance創始人澄清：我有38.57萬枚UNI，但不想成為代表:針對此前關于yearn.finance創始人Andre Cronje表示希望成為Uniswap代表并影響協議治理一事，Andre Cronje在推特上進行了澄清，他表示：似乎有些誤會，我其實不想要成為代表。我只是認為，Uniswap幾乎不可能真的可以收集到1000萬個有價值的代幣投票，所以就提出了要去做代表的建議，我可能整天都在發一些垃圾內容，但我的確擁有38.57萬枚UNI代幣。[2020/9/21]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：YEAEARNNCEFINYearn Finance HITTweet To EarnDivergence ProtocolFrance Rev Finance

PEPE