16萬美元資產被盜竟是烏龍事件？Yeld.finance“閃電貸攻擊”事件簡析_DAI

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)進行分析。經分析后發現，該筆交易為Yeld.finance項目自身的策略機制而導致的資金轉移，與閃電貸攻擊無關。閃電貸攻擊表示不背這個鍋。二、事件分析

△圖1交易信息如圖1所示，該筆交易是名為0xf0f225e0的用戶，調用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合約的deposit函數。經確認，0xef80cab7合約正是項目方的DAI池。該筆交易一共產生了6筆代幣轉移，分別用T1到T6表示。那么，這些代幣轉移究竟是什么操作導致的呢？下面通過代碼進行分析：

數據：Paradigm可能已經出售所有MKR并實現約1716萬美元利潤:金色財經報道，據Spot On Chain監測，Paradigm6小時前以1,187美元的單價（356萬美元）將3000枚MKR轉至Coinbase，MKR價格短線出現下跌后現已回升。Paradigm可能已經出售了所有MKR并實現了約1716萬美的利潤。

Paradigm的MKR投資總成本共2205萬美元；2019年2月以500美元從Bitfinex買入1000枚MKR，在2019年私募中以500美元購買了35,908枚MKR，在2020年3月的拍賣中使用360萬枚DAI購買了14,272枚MKR。

Paradigm的MKR總出售額為3921萬美元，其中，3月16日以平均740美元的價格向Coinbase存入4800枚MKR資金，6小時前以1,187美元存入3000枚MKR至Coinbase。[2023/7/27 16:01:56]

Filecoin網絡目前總質押量約為8116萬枚FIL:據IPFS100報道，Filfox瀏覽器數據顯示，Filecoin網絡當前區塊高度為833403，全網有效算力為6.231EiB，總質押量約為8116萬枚FIL，活躍礦工數為2444個，每區塊獎勵為25.3670FIL，近24小時產出量為363599FIL，24小時平均挖礦收益為0.0560FIL/TiB，目前FIL流通量為132776355FIL。目前有效算力排名前三的分別為：f0127595（時空云）以118.07PiB暫居第一，f0135467（RRM-雅典娜）以106.34PiB位居第二，f0142720（RRM-雅典娜）以103.76PiB位居第三。[2021/6/10 23:27:29]

△圖2deposit函數源代碼很明顯，第538行代碼，產生導致了序號為T1的代幣轉移，將token轉移到yDAI合約。這是一筆普通的代幣轉賬，表示用戶存入了9,377DAI到yDAI合約。第541-553行代碼，是yDAI合約用于計算用戶存入的DAI應返回給用戶多少yDAI，并在第554行進行鑄幣，對應序號為T2的代幣轉賬，表示yDAI合約向用戶鑄了9,306yDAI。然后進入第555行的rebalance函數，分析該函數的邏輯。

近2816萬枚USDT從Aave貸款池轉出:金色財經報道，Whale Alert數據顯示，北京時間10月9日23:02，28,159,684枚USDT從Aave貸款池轉入0xbb7d開頭未知錢包地址，交易哈希為：0xe08f8bc95fef92e0d48e076b464e33b30cf119d1985b480e832f9437f7730c7b。[2020/10/9]

△圖3rebalance函數源碼

動態 | 絲綢之路創始人的赦免請愿書簽名人數接近16萬:據Bitcoin.com報道，暗網絲綢之路創始人Ross Ulbricht的赦免請愿書已獲得接近16萬人的簽名，這些人要求美國總統特朗普赦免Ross Ulbricht。除了大量的簽名之外，大約有100個知名組織和人士支持釋放Ulbricht，其中許多人代表Ulbricht發表聲明，公開反對他因創建網站而被判重刑，包括美國前助理住房部長Catherine Austin Fitts、演員Keanu Reeves、Bitcoin.com首席執行官Roger Ver、作家Lew Rockwell以及評論家Tom Woods等。卡托研究所（Cato Institute）、Downsizedc.org等組織也表示支持。 （注：截至目前，請愿書已經獲得158661個簽名。）[2019/4/18]

△圖4recommend函數第732行代碼會計算newProvider，該函數會調用recommend函數(如圖4所示)，recommend函數會調用IEarnAPRWithPool合約查詢4個Defi項目DYDX,COMPOUND,AAVE,FULCRUM中，年利率(APR)最高的項目，查詢結果如圖5所示：

△圖5recommend查詢結果其中dYdX池的APR最高，newProvider被設置為dYdX池。當前池為AAVE池，進入736行的if代碼塊，調用內部函數_withdrawAll。

△圖6_withdrawAll函數源代碼第778行代碼將會提出AAVE池中的所有DAI，產生了序號為T3-T5的代幣轉移，具體代碼可參考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合約redeem函數相關代碼，此處不再詳述。最后是第741行代碼，將從AAVE中提出的16.6余萬枚DAI存入dYdX合約，產生了序號為T6的代幣轉移，即將16.6萬枚DAI存入dYdX池。整個交易就此結束，可以看到，這次所謂的“閃電貸攻擊”只是虛驚一場。用戶只是單純的存入了一筆DAI，然后剛好觸發了Yeld.finance項目的策略機制，并不是所謂的“閃電貸攻擊”，可謂是鬧了場烏龍事件。值得注意的是，dYdX在該事件中充當了一個“良心商家”的角色，并不是以往閃電貸攻擊中的幫兇。三、安全建議盡管本次事件經成都鏈安安全團隊分析后被判斷為虛假一場，但在這里還是有必要提醒各項目方，依然需要在日常的安全防護工作中，對閃電貸攻擊加以預警和防范。同時，作為致力于區塊鏈生態安全建設的成都鏈安也在此建議，項目方的安全預警機制和安全加固工作切不可等閑視之。尋求第三方安全公司的力量，搭建覆蓋全生命周期的一站式安全解決方案方為萬全之策。

Tags：DAIMKRFILAVEDAI幣AMKRfil幣最新消息這次回調要多久MetaVersus

Coinw