火星链 火星链
Ctrl+D收藏火星链
首页 > Coinw > 正文

DRE:一文回顾YFI创始人Andre新项目遭黑客攻击事件

作者:

时间:1900/1/1 0:00:00

文章来源:matataki

作者:小岛美奈子

Mementotehominemesse:谨记你不过只是一个人。——《世界语言简史》,常被引用的拉丁语名言

这已经不是Andre第一次翻车了,今年早些时候,Andre在刚开始构建yCrv的时候,就发生过一次事故,使得一个早期用户损失了14w美金。

Medium,AndreCronje,Postmortem28–02–2020

Medium,AndreCronje,PostMortemofthePostMortem

这件事件之后,Andre的置顶推文就是那则著名的Disclaimer。

数据:某巨鲸在市场大幅下跌前出售10265枚ETH:金色财经报道,据Spot On Chain监测,在以太坊联合创始人Jeffrey Wilcke将ETH转移到Kraken 40分钟后,某鲸鱼将10265枚ETH换成1,910万美元的DAI和USDC(约12小时前,市场大幅下跌前),平均售价为1861美元。

此前报道,6月5日,以太坊联创Jeffrey Wilcke向Kraken转入2.2万枚以太坊。[2023/6/6 21:18:50]

而就在本月中旬,YFI的社区项目SAFE也发生了内幕交易,提前买入了大额保单。虽然不是Andre的直接责任,但依然对YFI的社区造成了一定影响。

昨天发生的事故无论是损失金额,还是波及的人数,都比前几次事故要远远严重。而且事故原理也更加简单,简直可以作为Flashloan的入门教程了。以至于Andre都写不出像样的Postmortem来进行说明。

Coinbase将Liquid Staked ETH (LSETH)列入上币计划:据官方消息,Coinbase将Liquid Staked ETH (LSETH)列入路线图资产列表。

据悉,Coinbase此前决定,为提高资产透明度,将提前列出已决定上线的资产,并移至路线图。[2023/2/3 11:44:36]

事故原理

Flashloan大家一定已经不陌生了,在今年EtherDenver期间,DeFi项目bZq就曾连续发生数次事故。其中第二次攻击并不是合约代码的漏洞,而是利用了合约设计的缺陷——所有合约都按照预定的设计在执行工作,但当这些合约组合时却形成了无风险套利的可能。因为攻击者需要在一笔tx内同时完成「借款」和「还款」的操作,因而这种攻击方法被称之为闪电贷??。DragonFly的研究员HaseebQureshi就曾撰文,称这种类型的攻击将会成为DeFi开发中的「新常态」。

美众议院金融服务委员会将于12月就FTX事件举行听证会:金色财经报道,美国众议院金融服务委员会主席Maxine Waters和众议院金融服务委员会高级成员Patrick McHenry宣布,将于12月就“FTX崩盘及和该事件对数字资产生态系统的更广泛后果”举行两党听证会。

该委员会希望听取相关公司和个人的发言,包括Sam Bankman-Fried、FTX、币安、Alameda Research和相关实体等。

此外,美国参议院银行委员会主席Sherrod?Brown表示,听证会证人将包括美国证交会(SEC)官员。[2022/11/16 13:13:26]

事故合约

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

星辉娱乐:未来公司将密切关注Web 3.0相关技术在游戏领域的发展:金色财经报道,星辉娱乐在互动平台表示,Web 3.0是互联网潜在的下一阶段,未来公司将密切关注相关技术在游戏领域的发展,探寻相关技术与游戏的有机结合,努力为玩家提供沉浸式的游戏体验。?(财联社)[2022/11/11 12:49:58]

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

我们可以看到黑客一共发起了三次CreateContract操作,并且再得手之后,还还回去一半。

再看一些具体的受害者Case,比如这位老哥花了390个ETH去买EMN,一个小时之后只卖回了1个。

再比如这位推上的老哥@spzcrypto。。。前几个小时还在转推@eminencefi的状态。。下一则推就gotrekt了==。。。。

A&T Capital创始合伙人:STEPN死亡螺旋已正式开启:金色财经报道,A&T Capital创始人合伙人Jun YU在社交媒体上称,STEPN死亡螺旋已正式开启,他写道:“通过footprint其实可以很容易看出#StepN 从两周前数据就开始不太健康了,一个ponzi如果用户增长打破了指数增长 离崩盘就不远了。这也是为什么我之前多次提醒大家不要做炮灰。这两天正式开启死亡螺旋。”[2022/5/29 3:48:56]

看上去也根本不像是演的。类似的受害者想必不在少数。

虽然攻击合约没有开源。。但是死观察这些tx的内联转账可知。。。这是一个标准的闪电贷??过程。。。。很容易把攻击原理还原出来,下面这则thread详细的描述了攻击经过:

如果你困惑于黑客是如何成功榨干$EMN合约的,这里是具体的机制。EMN合约允许你用DAI作为储备金,铸造EMN。它使用标准的类似Bancor的曲线——DAI被用作EMN的储备货币,EMN代币的价格由EMN的数量与储备货币中的数量决定。

第二种代币,eAAVE也类似,但有一个小而重要的不同——它是用EMN作为储备货币,但却是「虚拟的」——如果你通过向它发送EMN代币来铸造eAAVE,而不是将你的EMN存储在储备中,eAAVE合约实际上会销毁EMN。这种相互作用使得攻击者可以进行以下交易。下面是完整的攻击过程:

从Uniswap中闪电贷??出15m的DAI。

用你的DAI铸造尽可能多的EMN。

用一半的EMN铸造eAAVE。这将消耗EMN,减少总供应量,从而抬高EMN的价格。

以10m的价格卖出你的后一半EMN。

现在卖出你的eAAVE,取回你的前一半EMN,降低EMN的价格。

以6.649m的价格卖回你的前一半EMN。

向Uniswap归还15m的闪电贷??,享受1.67m的利润。

重复以上策略三次。

黑客能在如此短的时间里发现合约的漏洞,因而社区猜测也是一次内线作案。虽然说TestinProd是Andre的标准做法。但是今天的Andre头顶YFI之父的光环,其对社区的影响以不可同日而语。正所谓力量越大责任也越大,发生这样的事故,Andre本人其实难辞其咎。

后续

YFI的币价受此事故牵连,昨日大跌16%。

Andre本人也表示收到了许多受害者的私信人身威胁。随后Andre表示将会永久封存自己使用已久传奇账号Yearn.Deployer。并不再使用TwitterShill自己的新项目。

同时Andre也失去了他的左膀右臂。。。YFI社区KOL,第一时间shill并目睹了被骇全过程的@Bluekirby。。。。蓝色星之卡比表示自己将从YFI社区中辞职。

截止目前,该事件的影响依然在发酵中。

标签:DRENDRANDETHDREAMCindrumRandomETH以太坊今日行情

Coinw热门资讯
SWAP:观点 | 被吸血的Uniswap怎么办?

幸好Uniswap已经宣布在开发V3版本的协议,HaydenAdams公开表示过,下一版将解决目前AMM遇到的所有问题.

1900/1/1 0:00:00
DEF:比原链CEO朗豫:DeFi让用户真正理解区块链,意义重大

9月29日上午,比原链首席执行官朗豫在火星区块链主办的?POW''ER2020DEFI创新者大会?发表题为《MOV的DeFi之道》的演讲.

1900/1/1 0:00:00
DEFI:引介 | DeFi:无银行的银行服务

在一个高度中心化的社会里,大部分人都会依赖银行来保管和保护他们的资产安全,尽管银行只提供微不足道的存款利率。为获得更高的收益率,其他人会选择财富管理公司或者股票经纪人来监督和执行投资策略.

1900/1/1 0:00:00
EFI:盘点DeFi合约审计中的那些“套路”,你中招了吗?

DeFi项目正式部署前,通过合约的安全审计,不仅可以对项目的代码规范、漏洞情况以及业务逻辑等方面进行全局核查。同时,项目审计对于项目方在投资市场的形象也具有一定塑造作用.

1900/1/1 0:00:00
SAN:外媒:巴哈马将于10月推出其央行数字货币“ Sand Dollar”

在2018年宣布计划发行国家数字货币的两年后,昨日据cointelegraph、彭博社等多家海外媒体报道,巴哈马再次宣布,将于10月推出由其央行数字货币.

1900/1/1 0:00:00
USD:一年增长362%,USDC成为DeFi的稳定赢家

Circle创始人兼CEOJeremyAllaire如今已经在科技的最前沿努力了数十年。 在建立加密支付公司Circle之前,他在早期互联网的鼎盛时期创立了一家名为AllaireCorporat.

1900/1/1 0:00:00