文章來源:matataki
作者:小島美奈子
Mementotehominemesse:謹記你不過只是一個人。——《世界語言簡史》,常被引用的拉丁語名言
這已經不是Andre第一次翻車了,今年早些時候,Andre在剛開始構建yCrv的時候,就發生過一次事故,使得一個早期用戶損失了14w美金。
Medium,AndreCronje,Postmortem28–02–2020
Medium,AndreCronje,PostMortemofthePostMortem
這件事件之后,Andre的置頂推文就是那則著名的Disclaimer。
Ambient Finance已上線以太坊主網:6月19日消息,去中心化交易協議Ambient Finance發推稱,已上線以太坊主網。接下來一周,團隊將發布Ambient功能、理念與設計。Ambient Finance原名為CrocSwap。[2023/6/19 21:46:36]
而就在本月中旬,YFI的社區項目SAFE也發生了內幕交易,提前買入了大額保單。雖然不是Andre的直接責任,但依然對YFI的社區造成了一定影響。
昨天發生的事故無論是損失金額,還是波及的人數,都比前幾次事故要遠遠嚴重。而且事故原理也更加簡單,簡直可以作為Flashloan的入門教程了。以至于Andre都寫不出像樣的Postmortem來進行說明。
事故原理
比特幣全網未確認交易數量為39629筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為39629筆,全網算力為316.93 EH/s,24小時交易速率為3.83交易/s,目前全網難度為43.55 T,預測下次難度上調2.29%至44.55T,距離調整還剩2天14小時。[2023/3/22 13:17:59]
Flashloan大家一定已經不陌生了,在今年EtherDenver期間,DeFi項目bZq就曾連續發生數次事故。其中第二次攻擊并不是合約代碼的漏洞,而是利用了合約設計的缺陷——所有合約都按照預定的設計在執行工作,但當這些合約組合時卻形成了無風險套利的可能。因為攻擊者需要在一筆tx內同時完成「借款」和「還款」的操作,因而這種攻擊方法被稱之為閃電貸??。DragonFly的研究員HaseebQureshi就曾撰文,稱這種類型的攻擊將會成為DeFi開發中的「新常態」。
昨日加密市場總交易量635.46億美元,單日漲幅120.93%:金色財經報道,據CoinGecko數據顯示,1月10日加密市場總交易量為635.46億美元,相較于1月9日(287.63億美元)單日漲幅120.93%。[2023/1/11 11:05:41]
事故合約
https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8
https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code
黑客地址
https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8
FTX現任CEO:在調查Alameda向SBF提供10億美元貸款的去向:12月13日消息,在美國眾議院金融服務委員會就FTX爆雷舉行的聽證會上,FTX現任首席執行官兼首席重組官John J.Ray III在談到FTX和Alameda Research的資產隔離和風險控制時表示,沒有內部控制,也沒有進行資產隔離。John J.Ray III表示,目前還在調查Alameda Research貸款給SBF的10億美元貸款用途和去向。[2022/12/14 21:42:22]
我們可以看到黑客一共發起了三次CreateContract操作,并且再得手之后,還還回去一半。
再看一些具體的受害者Case,比如這位老哥花了390個ETH去買EMN,一個小時之后只賣回了1個。
多鏈流動性協議Swim Protocol宣布關閉項目:11月8日消息,多鏈流動性協議Swim Protocol官推宣布,經過慎重考慮,由于外在和內部因素,決定將關閉項目,當前Swim LP代幣持有者可移除流動性。
據了解,Swim Protocol是一個專為原生資產打造的多鏈AMM,旨在使跨鏈橋接變得更加容易。[2022/11/8 12:32:55]
再比如這位推上的老哥@spzcrypto。。。前幾個小時還在轉推@eminencefi的狀態。。下一則推就gotrekt了==。。。。
看上去也根本不像是演的。類似的受害者想必不在少數。
雖然攻擊合約沒有開源。。但是死觀察這些tx的內聯轉賬可知。。。這是一個標準的閃電貸??過程。。。。很容易把攻擊原理還原出來,下面這則thread詳細的描述了攻擊經過:
如果你困惑于黑客是如何成功榨干$EMN合約的,這里是具體的機制。EMN合約允許你用DAI作為儲備金,鑄造EMN。它使用標準的類似Bancor的曲線——DAI被用作EMN的儲備貨幣,EMN代幣的價格由EMN的數量與儲備貨幣中的數量決定。
第二種代幣,eAAVE也類似,但有一個小而重要的不同——它是用EMN作為儲備貨幣,但卻是「虛擬的」——如果你通過向它發送EMN代幣來鑄造eAAVE,而不是將你的EMN存儲在儲備中,eAAVE合約實際上會銷毀EMN。這種相互作用使得攻擊者可以進行以下交易。下面是完整的攻擊過程:
從Uniswap中閃電貸??出15m的DAI。
用你的DAI鑄造盡可能多的EMN。
用一半的EMN鑄造eAAVE。這將消耗EMN,減少總供應量,從而抬高EMN的價格。
以10m的價格賣出你的后一半EMN。
現在賣出你的eAAVE,取回你的前一半EMN,降低EMN的價格。
以6.649m的價格賣回你的前一半EMN。
向Uniswap歸還15m的閃電貸??,享受1.67m的利潤。
重復以上策略三次。
黑客能在如此短的時間里發現合約的漏洞,因而社區猜測也是一次內線作案。雖然說TestinProd是Andre的標準做法。但是今天的Andre頭頂YFI之父的光環,其對社區的影響以不可同日而語。正所謂力量越大責任也越大,發生這樣的事故,Andre本人其實難辭其咎。
后續
YFI的幣價受此事故牽連,昨日大跌16%。
Andre本人也表示收到了許多受害者的私信人身威脅。隨后Andre表示將會永久封存自己使用已久傳奇賬號Yearn.Deployer。并不再使用TwitterShill自己的新項目。
同時Andre也失去了他的左膀右臂。。。YFI社區KOL,第一時間shill并目睹了被駭全過程的@Bluekirby。。。。藍色星之卡比表示自己將從YFI社區中辭職。
截止目前,該事件的影響依然在發酵中。
加密資產管理公司Grayscale增加了其基金持有的比特幣數量。 根據Grayscale和加密資產跟蹤網站bybt.com的數據,Grayscale在其加密儲備中增加了1.71萬個比特幣,價值達.
1900/1/1 0:00:00美國證券監管機構已宣布暫停Vortex區塊鏈技術公司的股票交易到10月6日。美國證券交易委員會稱暫時中止交易的原因是對Vortex業務運營的性質及其資產價值感到困惑.
1900/1/1 0:00:00以太坊交易的平均成本已降至49天以來的最低點,標志著超高交易成本的終結。根據BitInfoCharts的數據,昨天,以太坊的平均交易費用為2.248美元,創下了自8月9日以來的最低點.
1900/1/1 0:00:00轉自:區塊律動 進入9月末,流動性挖礦似乎已達到一個瓶頸期。一些一些嗅覺敏銳的投資者將目光瞄準了NFT領域。投資者將目光標準了NFT領域。越來越多人認為NFT將會迎來爆發式的發展.
1900/1/1 0:00:00本文所提到的天王項目,皆為產品還未推出但即將面世,由于其明星團隊、極高的愿景,還有普通投資者眼中較重要的頂級投資機構、合作伙伴、顧問團隊加持,被寄予眾望的項目.
1900/1/1 0:00:00國慶中秋雙節長假快結束,我在家里讀了篇文:《最高級的聰明,是靠譜》我很認同,靠譜不一定能讓你大富大貴,但至少能帶來更多機會。甚至巴菲特也說過類似的話:靠譜是比聰明更重要的品質.
1900/1/1 0:00:00