CertiK: Yearn.Finance が脆弱性を露呈、総額約 7,100 万人民元の損失

元のタイトル: 「CertiK: Yearn.Finance が脆弱性を暴露、DeFi は新たな打撃を受ける、この記事では事件の全容を明らかにする」

出典: CertiK

2月5日、DeBankのデータによると、DeFiの実際のロック額は470億ドルを超え、過去最高を記録しました。本稿執筆時点では478.3億ドル、およそ3,095億人民元に相当する。

2020年は「DeFi元年」として知られています。 DeFiは、Compoundが先駆けとなった「流動性マイニング」によって歴史的なブームを経験してきたが、セキュリティリスクは依然として高いままである。北京時間2月5日の早朝、CertiKのセキュリティ技術チームは、DeFiプロジェクトYearn.Financeが攻撃を受けたことを発見しました。この攻撃による損失総額は約7100万元に上り、ハッカーは約1800万元の利益を得た。ハッカーはフラッシュローンを通じて攻撃の初期資金を入手し、Yearn プロジェクトのコードの脆弱性を悪用して攻撃全体を完了しました。

攻撃者の利益のスクリーンショット

この攻撃には、脆弱性を利用して利益を得るためのトランザクションが 11 件と、トークンを変換するためのトランザクションが 3 件含まれていました。取引リストは以下のとおりです。

3 件のトークン変換トランザクションを除き、残りの 11 件の収益性の高いトランザクションはすべて同じ脆​​弱性を標的とし、同じ攻撃方法を使用して利益を獲得しました。攻撃のフローチャートは次のとおりです。

具体的な手順は次のとおりです。

- フラッシュローンを利用して、攻撃に必要な初期資金を調達します。

- Yearn.Finance 契約の抜け穴を悪用し、3crv から DAI と USDT を繰り返し入出金して、より多くの 3Crv トークンを取得します。これらのトークンはその後、3回のトークン変換トランザクションでUSDTおよびDAIステーブルコインに変換されました。 3crvからDAIとUSDTの入出金操作を5回繰り返した後、フラッシュローンを返済します。

-CertiK セキュリティ技術チームは現在、Yearn.Finance の脆弱性を調査しています。脆弱性の詳細については、以降の分析で説明します。

要約する

暗号通貨の世界でのやり取りには、多くの場合、一定のリスクが伴います。安全なプロジェクトに投資することで、長期的な利益が得られます。

高いリターンには常に高いリスクが伴い、今回の脆弱性の発生は DeFi 分野に対する警告でもあります。