Chengdu Lianan: DeFi 프로젝트 Yearn Finance Flash Loan 공격 이벤트 분석
成都链安
2021-02-05 11:33
本文约1137字,阅读全文需要约5分钟
이번 공격의 구체적인 수법은 공격자가 플래시론을 이용해 막대한 자금을 빌린 뒤 순환차익거래를 하는 것이었다.
1. 이벤트 개요
보조 제목 요컨대 이번 공격의 구체적인 수법은 공격자가 플래시론을 이용해 거액의 돈을 빌린 뒤 순환차익거래를 했다는 것이다. Chengdu Beosin 보안 팀의 대응 및 분석에 따르면 이번 공격에 관련된 계약은 yValut+Curve Pool입니다. 2. 이벤트 분석 1. 공격자는 yVault 계약에 DAI를 예치하고 아래 그림과 같이 DAI를 사용하여 유동성 풀에 유동성을 추가하기 위해 yValut를 트리거하기 위해 적립을 호출합니다. 이미지 설명 2. 공격자는 빌린 자금을 사용하여 아래 그림과 같이 Curve 토큰을 얻기 위해 USDT를 사용하여 유동성 풀에 유동성을 추가합니다. △그림 2 이미지 설명 3. 공격자는 아래 그림과 같이 yValut 계약에 저장된 DAI를 꺼냅니다. △그림 3 이미지 설명 4. 공격자는 유동성을 추가할 때와 동일한 양의 USDT를 지정하고 유동성을 제거합니다.3번에서 DAI의 일부를 빼앗기 때문에 2번에 비해 USDT의 가격이 상대적으로 하락하므로 나머지 부분은 여기에서 커브가 대체됩니다. △그림 4 이미지 설명 △그림 4 위의 주기가 계속되어 공격자가 DAI를 소비하여 Curve 토큰을 얻을 수 있습니다. 여기에서 다음 그림과 같이 공격자의 첫 번째 공격 단계를 살펴보겠습니다. △그림 5 이미지 설명 이 부분의 손실 외에도 공격자는 더 많은 Curve 토큰을 획득하여 이익을 얻었습니다. 보조 제목 3. 보안 권장 사항2. 이벤트 분석
3. 보안 권장 사항
成都链安
作者文库
推荐文章
