USD:首發 | Yearn.Finance驚爆漏洞 DeFi再遭打擊 一文帶你探明事件始末_crv幣還有上漲空間嗎

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

首發 | imKey正式支持Filecoin，成為首批Filecoin硬件錢包:12月1日，隨著imToken2.7.2版本上線，imKey同步支持Filecoin，成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一，成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉，imKey團隊已在Q4全面啟動多鏈支持計劃，計劃實現imToken已經支持的所有公鏈項目，本次imKey升級更新，無需更換硬件，不涉及固件升級，通過應用（Applet）自動升級，即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息，近日，由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲，游戲美術采用全3D 制作。用戶可通過 CocosWallet ， DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前，Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游，游戲公鏈生態在逐步壯大和完善。[2020/8/20]

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現，北京時間10月24日，17:07分發生了一筆18000枚BTC的轉賬，經分析，這實際上是交易所Bithumb的內部整理工作，將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常，對各種“面值”的UTXO進行整數級別的整理，屬于交易所的規律性操作。[2019/10/24]

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

序號

交易目的

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

交易獲利

1

利用漏洞獲利

3Crv:349852,USDT:11305

2

利用漏洞獲利

3Crv:316814,USDT:11833

3

利用漏洞獲利

3Crv:287544,USDT:11818

4

利用漏洞獲利

3Crv:258554,USDT:11761

5

利用漏洞獲利

3Crv:276366,USDT:11472

6

利用漏洞獲利

3Crv:249387,USDT:11242

7

將前6筆交易獲得的3Crv總量的一半轉換為USDT獲利

869,2603Crv轉換為878,188?USDT

8

利用漏洞獲利

3Crv:226448,USDT:11242

9

利用漏洞獲利

3Crv:198877,USDT:12302

10

利用漏洞獲利

3Crv:172524,USDT:11987

11

將當前交易獲得的3Crv剩余總量的一半轉換為USDT獲利

733,5553Crv轉換為742,042USDT?

12

利用漏洞獲利

3Crv:152217,USDT:11570

13

利用漏洞獲利

3Crv:127856,USDT:11017

14

將剩余所有3Crv轉換為DAI獲利

506,814Crv轉換為513,356DAI??

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

安全建議

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

CertiK建議：

完備的安全保障=安全審計+實時檢測+資產保障

Tags：CRV3CRVUSDSDTcrv幣還有上漲空間嗎3CRV幣穩定幣USDT行情usdt幣怎么開戶

中幣交易所