Chengdu Lianan: Phân tích sự kiện tấn công khoản vay chớp nhoáng của dự án DeFi Yearn Finance

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Chengdu Lianan: Phân tích sự kiện tấn công khoản vay chớp nhoáng của dự án DeFi Yearn Finance

成都链安

2021-02-05 11:33

本文约1137字，阅读全文需要约5分钟

Phương pháp cụ thể của cuộc tấn công này là kẻ tấn công đã sử dụng các khoản vay chớp nhoáng để vay một lượng tiền khổng lồ, sau đó thực hiện kinh doanh chênh lệch giá vòng tròn.

1. Tổng quan sự kiện

tiêu đề phụ

Nói tóm lại, phương pháp cụ thể của cuộc tấn công này là kẻ tấn công đã vay một số tiền khổng lồ bằng cách sử dụng các khoản vay chớp nhoáng, sau đó thực hiện kinh doanh chênh lệch giá vòng tròn. Theo phản hồi và phân tích của nhóm bảo mật Beosin Thành Đô, hợp đồng liên quan đến cuộc tấn công này là yValut+Curve Pool.

2. Phân tích sự kiện

1. Kẻ tấn công gửi DAI vào hợp đồng yVault và gọi số tiền kiếm được để kích hoạt yValut nhằm thêm thanh khoản vào nhóm thanh khoản bằng DAI, như thể hiện trong hình bên dưới:

Mô tả hình ảnh

2. Kẻ tấn công sử dụng số tiền đã vay để thêm thanh khoản vào nhóm thanh khoản bằng USDT để lấy mã thông báo Curve, như trong hình bên dưới:

△Hình 2

Mô tả hình ảnh

3. Kẻ tấn công lấy DAI được lưu trữ trong hợp đồng yValut, như thể hiện trong hình bên dưới:

△Hình 3

Mô tả hình ảnh

4. Kẻ tấn công chỉ định lượng USDT giống như khi thêm thanh khoản và loại bỏ thanh khoản. Lưu ý rằng vì một phần DAI bị lấy đi ở vị trí thứ 3 nên giá USDT sẽ giảm so với vị trí thứ 2, vì vậy phần còn lại của Đường cong sẽ được thay thế ở đây.tiền tệ.