Yearn.Finance驚爆漏洞，DeFi再遭打擊，一文帶你探明事件始末！_EARN

2月5日消息，據DeBank數據顯示，DeFi真實鎖倉量突破470億美元，創下歷史新高，本文撰寫時為478.3億美元，約等于3095億人民幣。

Yearn Finance 2021年Q1利潤為480萬美元，yVault產品線仍是核心業務:據官方消息，Yearn Finance發布2021年Q1報告，調整后的息稅折舊攤銷前利潤為480萬美元，僅3月21日就產生了310萬美元。3月21日調整后的息稅折舊攤銷前利潤幾乎相當于2020財年（包括5個月）。yVault產品線仍然是Yearn核心業務和創收的核心。v2 yVaults于1月21日推出，同時推出了額外的v1 yVaults，提高了Q1的收入增長。

Yearn表示，報告提供的數據、報表和信息僅供參考，不構成財務或投資建議。此外，所列財務報表沒有經過第三方專業會計師事務所的全面財務報表審計。因此，可能存在重大錯報財務報表的錯誤或不準確。Yearn對根據本文提供的數據做出投資決策可能導致的任何財務損失或不利結果不承擔任何責任。[2021/4/27 21:03:29]

2020年被稱為“DeFi元年”，DeFi在Compound首創的“流動性挖礦”推動下獲得了歷史性的大爆發，然而其安全風險居高不下。

Yearn正引入Coordinape平臺以分散業務 并已上線v2 YFI yVault:3月15日，yearn.finance （YFI）官方發布項目周報。

根據周報，yearn.finance正在引入Coordinape平臺。該平臺致力于可擴展且無權限，將用于分散Yearn的業務并幫助更有效地補償貢獻者，將以去中心化的方式分配社區贈款。

Coordinape處于Alpha階段。

除了此前已公布的1INCH yVault和LINK yVault，Yearn v2還已上線YFI yVault。

官方已和Pickle Finance合作，在yveCRV-ETH中引入了一鍵快捷功能，可幫助用戶直接存入CRV或ETH，系統將自動將它們存入Pickle Finance的Farm中。[2021/3/15 18:44:50]

北京時間2月5日凌晨，CertiK安全技術團隊發現DeFi項目Yearn.Finance發生攻擊事件，攻擊總損失高達約7100萬人民幣，黑客從中獲利約1800萬人民幣。

BadgerDAO與Yearn.Finance合作共同建立新的WBTC保險庫:據官方博客消息，去中心化組織BadgerDAO宣布了與Yearn.Finance的一項合作計劃，旨在將Yearn.Finance的可持續保險庫技術帶給BadgerDAO，并共同推進DeFi中的比特幣的發展。BadgerDAO會將其當前的合成比特幣保險庫余額遷移到Yearn的帳戶，Yearn保險庫將顯示在BadgerDAO的應用程序中。此外，這兩種協議將一起建立一個新的WBTC保險庫。該保險庫里的費用將由BadgerDAO和Yearn.Finance協議共同承擔。[2021/2/11 19:29:59]

黑客通過閃電貸獲得攻擊啟動資金，利用Yearn項目代碼漏洞，完成整個攻擊。

攻擊者獲利數目截圖

此次攻擊總計包括11筆利用漏洞獲利交易以及3筆轉換代幣交易，交易列表如下：

除開3筆轉換代幣交易之外，剩余11筆獲利交易均針對同一個漏洞，使用相同的攻擊方式完成的獲利。

攻擊大致流程圖如下：

具體步驟如下：

利用閃電貸籌措攻擊所需初始資金。

利用Yearn.Finance合約中漏洞，反復將DAI與USDT從3crv中存入和取出操作，目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

完成5次重復的DAI與USDT從3crv中存取操作后，償還閃電貸。

CertiK安全技術團隊當前正在審查Yearn.Finance中存在的漏洞，更多漏洞細節將在后續分析中進行詳解。

總結

加密世界的交互往往都伴隨著一定的風險，而投資于安全的項目會收到更加長遠的回報。

而高收益必定伴隨著高風險，此次漏洞的爆發同樣是DeFi領域的一個警示。

Tags：EARNYEAANCNANEARN價格Yearn Finance 3Crypto Against Canceralpaca-finance

中幣