Yearn - 翻车2



在生产环境下被攻击。

...最终。

自其首次进入排行榜两年多以来,Yearn再度上榜rekt.news,损失超过1000万美元。

Yearn被许多人认为是DeFi最可靠、最安全的平台之一,其通过提供一些该行业最简单的流动性挖矿机会而成名。

被攻击的无法更改的yUSDT合约是三年多前部署的,当时Yearn还是Andre Cronje的iearn finance。

虽然该策略被更新的版本所取代,但大量的资金仍然留在原始合约中。后来的Yearn金库合约不受影响

尽管有用户最后一刻在推特上发出了警告,但不可变的合约无法被拯救。

在Yearn向用户保证当前合约不受影响之前团队成员storming0x证实了这次攻击。

历时1156天,在DeFi建立时间最长的协议之一中发现了一个价值数百万美元的漏洞。

怎么会花这么长时间?

来源:Samczsun, OtterSec, SlowMist

黑客利用了iearn yUSDT代币合约中的一个错误配置。

该代币通过一篮子有收益的代币产生收益,包括Aave、Compound、DYDX和BzX Fulcrum上的USDT头寸。

然而,自推出以来,yUSDT包含一个似乎是复制/粘贴的错误,即使用了Fulcrum USDC地址而不是Fulcrum USDT合约。

黑客能够利用这个错误的配置,极大地操纵yUSDT的相关代币价格,并且只用1万 USDT就铸造了大量(1.2万亿)的yUSDT。

Theori的junomon.eth提供了详细分析:

黑客地址1:0x5bac20beef31d0eccb369a33514831ed8e9cdfe0

黑客地址2:0x16af29b7efbf019ef30aae9023a5140c012374a5

黑客地址3:0x16af29b7efbf019ef30aae9023a5140c012374a5

攻击交易1:0xd55e43c1…

攻击交易2:0x8db0ef33…

铸币的yUSDT随后被换成了其他的稳定币,总额为1140万美元,BlockSec提供了以下的明细:

黑客通过Tornado Cash获得资金,并重新存入1000个ETH用于洗钱。在撰写本文时,前两个黑客的地址分别持有约150万美元的资产,而地址3持有740万DAI。

Certik在2020年2月对iearn金融进行了审计,然而,似乎只局限于yDA合约。

Cronje的首选方法——“生产环境下测试"(test in prod),已经造成了大量的事故,为rekt.news的早期提供了很多素材。

不过,一般来说,新的协议和功能在几小时或几天内就会翻车,而不是几年......

在每次攻击之后,去中心化的垄断就会开始增长。

更广泛的AC宇宙已经经历了足够多的事故,足以拥有自己的排行榜,正如我们在2021年10月CREAM Finance第二次被黑后所讨论的那样。

尽管损失巨大,但幸运的是,这起案件只影响了一个过时且弃用的策略,并没有威胁到目前Yearn策略中4.5亿美元的TVL。

正如我们上次写的那样:

没有大而不倒的协议。

首先是Sushi,现在是Yearn。

这一周DeFi基础设施项目连续遭受打击。

下一个是谁?


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。