成都聯南:DeFiプロジェクト Yearn Finance Flash Loan攻撃イベントの分析
成都链安
2021-02-05 11:33
本文约1137字,阅读全文需要约5分钟
今回の攻撃の具体的な手口は、攻撃者がフラッシュローンを利用して巨額の資金を借り入れ、サーキュラーアービトラージを実行するというものだった。
1. イベント概要
副題 つまり、この攻撃の具体的な手口は、攻撃者がフラッシュローンで巨額の資金を借り入れ、サーキュラーアービトラージを実行するというものです。成都 Beosin セキュリティ チームの対応と分析によると、この攻撃に関与した契約は yValut+Curve Pool です。 2. イベント分析 1. 攻撃者は、DAI を yVault コントラクトにデポジットし、下の図に示すように、yValut をトリガーして DAI を使用して流動性プールに流動性を追加するために Earn を呼び出します。 画像の説明 2. 攻撃者は、以下の図に示すように、借入資金を使用して USDT を使用して流動性プールに流動性を追加し、Curve トークンを取得します。 △図2 画像の説明 3. 以下の図に示すように、攻撃者は yValut コントラクトに保存されている DAI を取り出します。 △図3 画像の説明 4. 攻撃者は、流動性を追加したときと同じ量の USDT を指定し、流動性を削除しますが、#3 で DAI の一部が奪われるため、#2 に比べて USDT の価格が下がります。ここで曲線が置き換えられます。 △図4 画像の説明 △図4 上記のサイクルが継続するため、攻撃者は DAI を消費して Curve トークンを取得できます。 ここでは、次の図に示すように、攻撃者の攻撃の最初のステップを見てみましょう。 △図5 画像の説明 損失のこの部分に加えて、攻撃者はさらに多くのカーブ トークンも取得し、利益を得ました。 副題 3. セキュリティに関する推奨事項2. イベント分析
3. セキュリティに関する推奨事項
成都链安
作者文库
推荐文章
