一、事件概览北京时间2021年2月27日,【链必安-区块链安详态势感知平台(Beosin-OSINT)】舆情监测到,DeFi知名项目Yeld.finance官方发出告示,暗示该项目标DAI池蒙受到闪电贷进攻,原文链接如下:https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b成都链安(Beosin)安详团队第一时间参与响应,对原文中所提及的生意业务(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)举办阐明。经阐明后发明,该笔生意业务为Yeld.finance项目自身的计策机制而导致的资金转移,与闪电贷进攻无关。闪电贷进攻暗示不背这个锅。
二、事件阐明
图1 生意业务信息如图1所示,该笔生意业务是名为0xf0f225e0的用户,挪用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经确认,0xef80cab7合约正是项目方的DAI池。该笔生意业务一共发生了6笔代币转移,别离用T1到T6暗示。那么,这些代币转移毕竟是什么操纵导致的呢?下面通过代码举办阐明:
图2 deposit函数源代码很明明,第538行代码,发生导致了序号为T1的代币转移,将token(即DAI)转移到yDAI合约。这是一笔普通的代币转账,暗示用户存入了9,377 DAI到yDAI合约。第541-553行代码,,是yDAI合约用于计较用户存入的DAI应返回给用户几多yDAI,并在第554行举办铸币,对应序号为T2的代币转账,暗示yDAI合约向用户铸了9,306 yDAI。然后进入第555行的rebalance函数,阐明该函数的逻辑。
图3 rebalance函数源码
图4 recommend函数
第732行代码管帐算newProvider,该函数会挪用recommend函数(如图4所示),recommend函数会挪用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询功效如图5所示:
图5 recommend查询功效
个中dYdX池的APR最高,newProvider被配置为dYdX池。当前池为AAVE池,进入736行的if代码块,挪用内部函数_withdrawAll。
图6 _withdrawAll函数源代码
第778行代码将会提出AAVE池中的所有DAI,发生了序号为T3-T5的代币转移,详细代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再详述。最后是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,发生了序号为T6的代币转移,即将16.6万枚DAI存入dYdX池。整个生意业务就此竣事,可以看到,这次所谓的“闪电贷进攻”只是虚惊一场。用户只是纯真的存入了一笔DAI,然后恰好触发了Yeld.finance项目标计策机制,并不是所谓的“闪电贷进攻”,可谓是闹了场乌龙事件。值得留意的是,dYdX在该事件中充当了一个“本心商家”的脚色,并不是以往闪电贷进攻中的帮凶。三、安详发起尽量本次事件经成都链安(Beosin)安详团队阐明后被判定为虚假一场,但在这里照旧有须要提醒各项目方,依然需要在日常的安详防护事情中,对闪电贷进攻加以预警和防御。同时,作为致力于区块链生态安详建树的成都链安(Beosin)也在此发起,项目方的安详预警机制和安详加固事情切不行苟且视之。寻求第三方安详公司的气力,搭建包围全生命周期的一站式安详办理方案方为万全之策。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。