YEARN - REKT

没有大而不倒的协议。

闪电贷的强大功能使蓝筹股褪变为黑筹。对Yearn DAI v1金库的套利攻击表明，即使我们最有经验的开发人员仍然会犯错误。

黑客使用9笔闪电贷攻击该金库。金库共损失1100万美元，其中攻击者获利270万美元，Curve流动性提供者得到350万美元，Curve质押者得到350万美元，支付Aave v2闪电贷手续费花去140万美元。

DeFi系统处于恒定变化之中，日益增加的相互交织的协议创建了一部拥有无数运动零件的永动机。

我们行业的发展步伐迅猛，每天都有新想法和潜在的攻击行为出现。

不断变化的环境意味着即使经过时间考验的产品也不能保证绝对的安全性。

对于曾经被视为不可战胜的团队来说，沦为套利者的受害者必定是一种耻辱，但是我们也并不乐意指出那些在我们领域创造如此巨大价值的开发人员工作中存在的缺陷。

尽管未提及闪电贷，但Yearn团队已发布了他们的被黑后的分析版本。

Igor Igamberdiev在Twitter上对此次攻击进行了更详细的分析。

攻击者获利：

-51.3万DAI

-170万USDT

-剩余50.6万3CRV（每个价值约1美元）

攻击者执行了11笔交易。

1 /从dYdX闪电贷11.6万ETH

2 /从Aave v2闪电贷9.9万ETH

3 /以ETH作为抵押物在Compound上借入1.34亿USDC和1.29亿DAI

4 /向3crv Curve池中添加1.34亿USDC和3600万DAI

5 /从3crv Curve池取出1.65亿USDT

6 /重复五次

-存款9300万DAI到yDAI金库（每次少一些）

-添加1.65亿USDT到3crv池

-从yDAI金库取出9200万DAI（每次少一些）

-从3crv池取出1.65亿USDT

7 /最后一次不是取出USDT，而是提取3900万DAI和1.34亿USDC

8 /偿还Compound借款

9 /偿还闪电贷借款

每次操作攻击者拥有更多3crv代币，这样以后他可以将其兑换成稳定币。

攻击者合约： https://etherscan.io/address/0x62494b3ed9663334e57f23532155ea0575c487c5Attac(https://etherscan.io/address/0x62494b3ed9663334e57f23532155ea0575c487c5Attac)

Tornado交易＃1

https://etherscan.io/tx/0x7ee28e342573ff7b8fb4bd2e4373e742cf80d8f8c7f8764cc6b70439dc33f037(https://etherscan.io/tx/0x7ee28e342573ff7b8fb4bd2e4373e742cf80d8f8c7f8764cc6b70439dc33f037)

Tornado交易＃2

https://etherscan.io/tx/0x13c12895d44f8b890af2187b93b97bec01dd34eeb026ac9669d8412e57d64446(https://etherscan.io/tx/0x13c12895d44f8b890af2187b93b97bec01dd34eeb026ac9669d8412e57d64446)

Tornado交易＃3

https://etherscan.io/tx/0x6b07e3faaa419ea5a3d58929e07b872f8529441064eb576d61ef5edd697f7256(https://etherscan.io/tx/0x6b07e3faaa419ea5a3d58929e07b872f8529441064eb576d61ef5edd697f7256)

Tornado交易＃4

https://etherscan.io/tx/0xcacdc95bd65556426bae39025ddb1deafb65acb908be49fb7186bb750fault(https://etherscan.io/tx/0xcacdc95bd65556426bae39025ddb1deafb65acb908be49fb7186bb750fault)

出现套利机会是因为金库迁移时取消了赎回费。

读者也知道闪电贷之下并没有什么新意，因此，能够阻止这种情况发生的Yearn开发人员也如此。表明这只是一个利用金库迁移过程中所犯错误的机会主义者。

流言和看戏在DeFi社区仍然有较高关注度。许多人认为这次攻击是对Cronje较早前批评Julien Bouteloup,Stake DAO的一位贡献者，虚伪的报复。

尽管我们的许多读者（和您的匿名作者）会暗中乐于观看两个开发人员之间的争斗，但事实证明，这些怀疑是错误的，因为在提出批评之前的几个小时攻击者的帐户已获得资金，并且合约已写好。

作为我们行业中两个最杰出的开发者，势必会有一些竞争。对他们工作的热情以及把名誉与编写涉及上亿美元的代码联系在一起的责任使工作关系承受了巨大的压力。

还值得注意的是，并非所有最好的开发人员都在Twitter上。

如果DeFi协议从中心化公司收到退款，那么在什么时候它不再是DeFi？

Tether冻结了在黑客攻击中被盗的170万美元。过去，Tether也曾补偿过误将代币发到合约地址而受损失的用户。

如果Tether销毁这些被盗的代币并铸造相同数量的代币以将资金返还Yearn，那么它们与任何中央银行都没有什么不同。

Yearn开发人员@fubuloubu过去曾反对使用Tether，但在这次他们介入之后似乎改变了主意。

当去中心化让我们获利的时候我们都喜欢它，不过退款的时候最好能中心化。

这次攻击直接进入了最大的DeFi集团之一的心脏地带，动摇了曾经被视为坚不可摧的堡垒的基础。

即使是业内最优秀的公司也会犯错，但这不应阻止我们鼓励他们开发。

当紧张局势加剧并且DeFi团队开始站队反对另一方时，我们所有人最好开阔视野并着眼更大的布局。

我们制造抗衡传统金融的武器。我们不应该通过内斗来遏制创新的潮流，真正的战斗是我们对他们。

最终，当我们回首这一时期，只剩下对所有在如此早期阶段抱有上述愿景的人们的尊敬。

昨晚Yearn的盔甲出现首次裂痕。他们的过错会使社区失去信心，还是我们都可以团结起来支持这家DeFi巨头，并帮助他们变得更强大？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。