Yearn因黑客攻擊而損失1100萬美元，這是如何發生的？_EARN

"2月5日，YearnFinancev1版本的yDAI機槍池漏洞被利用，損失1100萬美元，該名攻擊者總共獲得51.3萬DAI、170萬USDT和50.6萬3CRV，大約280萬美元。目前團隊正在針對此次事件進行調查，暫時禁用了在機槍池存入v1DAI、TUSD、USDC、USDT功能。"

2月5日凌晨5點左右，yearn官方在推特上表示，

“我們已經注意到yearnv1yDAI機槍池出現了一個漏洞。該漏洞已得到緩解。之后將發布漏洞報告。”

Yearn已在Sushiswap上增加55萬美元KP3R/ETH流動資金:Yearn finance（YFI）核心開發者banteg剛剛發推表示，Yearn在Sushiswap上增加了55萬美元的KP3R/ETH流動資金，并將其納入托管合約中。這將提供足夠的信貸來維持Keep3r網絡的工作。[2021/1/24 13:19:28]

Yearn核心開發者banteg隨后發布信息表示，

“YearnDAIv1機槍池被黑客攻擊，攻擊者已獲得280萬美元，整個機槍池損失了1100萬美元。在我們調查期間，針對v1DAI，TUSD，USDC，USDT機槍池的策略存款將會被禁用。”

Yearn核心開發者貼出Yearnv2白皮書截圖或將YFI供應量從3萬枚增至3.3333萬枚:1月18日，Yearn.finance（YFI）核心開發者banteg發布推文貼出一份Yearnv2版白皮書截圖，根據這份由數據科學家KlimK起草的白皮書，YFI的供應量將從3萬枚增加至3.3333萬枚，其中3萬枚將由原來的YFI持有人贖回，剩下的3333枚將由Yearn生態儲備持有，用于未來的激勵計劃。值得注意的是，該白皮書是由Yearn.finance（YFI）核心開發者banteg私人帳號發布，并非官方渠道發布。[2021/1/18 16:25:26]

yEarn發布yveCRV保險庫:yEarn剛剛發布了一個新的veCRV保險庫：yveCRV，該保險庫或將改變Curvefinance生態系統的游戲規則。 現在有可永久鎖定CRV存款的保管庫，作為交換可以賺取veCRV持有人應得的費用和其他已鎖定CRV以獲得投票支持的保險庫的費用。[2020/11/9 12:05:48]

banteg還表示，yearn團隊對這次攻擊的應對反應迅速，從發現到實施緩解總共用時10分鐘14秒，將原本可能導致3500萬美元損失降低到1100萬美元。

在這次漏洞攻擊中，攻擊者拿走了280萬美元，而另外超過300萬美元資金流向了Curve質押者。

黑客攻擊手法

TheBlock研究分析師IgorIgamberdiev表示，攻擊者在這次漏洞中總共執行了11個步驟。

1/通過閃電貸從dYdX借來11.6萬ETH

2/通過閃電貸從Aavev2借來9.9萬ETH

3/使用ETH作為抵押品借入1340萬USDC和1290萬DAI

4/在3crvCurve池中添加1340萬USDC和360萬DAI

5/從3crvCurve池中提取1.65億USDT

6/以下操作重復5次：

-將930萬DAI存入yDAI機槍池

-將1650萬USDT添加到3crv池中

-從yDAI機槍池中提取920萬DAI

-從3crv池中提取1.65億USDT

7/最后一次取款3900萬DAI和1.34億USDC，而不是USDT

8/償還Compound借貸

9/償還閃電貸

攻擊者每次重復操作的時候就會擁有更多3crv代幣，然后將其兌換為穩定幣。有意思的是，竟然使用了這么多次閃電貸。預計會有新的關于閃電貸的演講文章會很快發布。

截止目前，yearn還未發布關于這次攻擊的詳細漏洞報告，具體資金流向還不清楚。

Tags：YEAEARNUSDDAIYearn Finance HITEARN$泰達幣usdt有哪幾種類型Zero Collateral Dai

AAVE