Primer lanzamiento | Yearn.La impactante vulnerabilidad financiera DeFi volvió a golpear.Este artículo lo llevará a descubrir toda la historia.

El 5 de febrero, según datos de DeBank, el volumen real de bloqueo de DeFi superó los 47 000 millones de dólares estadounidenses, un récord. Al momento de escribir este artículo, era de 47 830 millones de dólares estadounidenses, equivalente a aproximadamente 309 500 millones de yuanes.

2020 es conocido como el "primer año de DeFi". DeFi ha logrado una explosión histórica impulsada por la "minería de liquidez" iniciada por Compound, pero sus riesgos de seguridad siguen siendo altos.

En la madrugada del 5 de febrero, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió un ataque al proyecto DeFi Yearn.Finance. La pérdida total del ataque fue de 71 millones de RMB, y el hacker ganó alrededor de 18 millones de RMB de eso.

Primer lanzamiento | Canaan anuncia una cooperación estratégica con Northern Data en IA, Blockchain y otros campos de computación de alto rendimiento: Según las noticias oficiales, el 17 de febrero de 2020, Canaan anunció una asociación con Blockchain Solutions y Data Center El proveedor de servicios Northern Data AG alcanzó una cooperación estratégica. El contenido de esta cooperación cubre campos de computación de alto rendimiento como IA, blockchain y operación y mantenimiento de centros de datos.

Canaan tiene una gran experiencia en el desarrollo de chips ASIC para computación de alto rendimiento. Northern Data AG se centra en la construcción de infraestructura informática de alto rendimiento, como blockchain y centros de datos. A través de esta cooperación estratégica, las dos partes liberarán aún más el potencial de crecimiento en campos emergentes como la IA y la cadena de bloques. [2020/2/19]

Los piratas informáticos obtuvieron fondos para iniciar el ataque a través de préstamos rápidos y explotaron lagunas en el código del proyecto Yearn para completar todo el ataque.

Primer lanzamiento | Vicepresidenta de Negocios Globales de Huobi Group: La supervisión determinará la velocidad de la tecnología blockchain y el aterrizaje de criptomonedas: El 21 de enero, Ciara Sun, Vicepresidenta de Negocios Globales de Huobi Group, dijo en el Foro Económico Mundial en Davos que el distrito 2019 es un año importante para la actitud regulatoria de blockchain y la moneda digital. En los Estados Unidos, a fines de 2019, había 21 proyectos de ley dirigidos a la política de criptomonedas y blockchain.Estos proyectos de ley incluyen temas de impuestos, estructuras regulatorias, funciones de seguimiento y aprobaciones de ETF, qué agencias federales regulan los activos digitales, etc. La Unión Europea (UE) implementó una nueva ley el 10 de enero de 2020, que requiere que las plataformas de criptomonedas adopten prácticas más estrictas contra el lavado de dinero. Suiza, Japón, Lituania, Malta y México han aprobado leyes que requieren que los intercambios tengan licencia de acuerdo con las pautas de KYC y AML. Países como China, Turquía, Tailandia y otros están planificando sus propias monedas digitales de banco central (CBDC). La regulación determinará la velocidad a la que se implementará la tecnología blockchain y las criptomonedas. [2020/1/22]

Primer lanzamiento | Liu Yao: Baidu Blockchain lanzó la plataforma Tianlian para potenciar los negocios en cadena: el 20 de diciembre, la "Conferencia de Desarrolladores de Blockchain de China 2019" organizada por CSDN se llevó a cabo en Beijing el 20 de diciembre. Liu Yao, jefe de productos de cadena de bloques de Baidu Smart Cloud, pronunció un discurso sobre el tema "La cadena de bloques empresarial potencia el aterrizaje de la innovación industrial". Señaló que 2020 será el primer año en que aterrizarán las empresas de cadenas de bloques. Con la implementación de la industria de cadenas de bloques , Baidu actualizó la cadena de bloques a una estrategia basada en plataforma y lanzó la plataforma Tianlian que se basa en Baidu Smart Cloud, que potenciará la innovación comercial en cadena de 360. [2019/12/20]

Captura de pantalla de las ganancias del atacante

El ataque incluyó un total de transacciones lucrativas de 11 mediante la explotación de vulnerabilidades y transacciones de token de conversión de 3. La lista de transacciones es la siguiente:

Número de serie

Propósito de la transacción

Beneficio comercial

3Crv:349852, USDT:11305

3Crv: 316814, USDT: 11833

3Crv: 287544, USDT: 11818

3Crv:258554, USDT:11761

3Crv: 276366 USDT: 11472

3Crv: 249387, USDT: 11242

Convierta la mitad del total de 3Crv obtenido en las primeras 6 transacciones en USDT para obtener ganancias

869,260 3Crv a 878,188 USDT

3Crv:226448, USDT:11242

3Crv:198877, USDT:12302

3Crv:172524, USDT:11987

Convierta la mitad del monto total restante de 3Crv obtenido de la transacción actual en USDT para obtener ganancias

733.555 3Crv a 742.042 USDT 

3Crv:152217, USDT:11570

3Crv:127856, USDT:11017

Convierta todos los 3Crv restantes a DAI para obtener ganancias

506.814 Crv a 513.356 DAI  

Excepto por las 3 transacciones de conversión de tokens, las 11 transacciones restantes con fines de lucro apuntaron a la misma vulnerabilidad y utilizaron el mismo método de ataque para completar la ganancia.

El diagrama de flujo general del ataque es el siguiente:

Los pasos específicos son los siguientes:

Use préstamos rápidos para obtener el capital inicial necesario para el ataque.

Usando las lagunas en el contrato Yearn.Finance, deposite y retire repetidamente DAI y USDT de 3crv para obtener más tokens 3Crv. Estos tokens se convirtieron en monedas estables USDT y DAI en las siguientes 3 transacciones de tokens de conversión.

Después de completar 5 operaciones repetidas de depósito y retiro de DAI y USDT de 3crv, reembolse el préstamo flash.

El equipo de tecnología de seguridad de CertiK está revisando actualmente las vulnerabilidades en Yearn.Finance, y se explicarán más detalles de las vulnerabilidades en análisis posteriores.

Consejos de seguridad

Las interacciones en el mundo encriptado suelen ir acompañadas de ciertos riesgos, y la inversión en proyectos seguros obtendrá beneficios a más largo plazo.

Y los altos rendimientos deben ir acompañados de altos riesgos.El brote de esta vulnerabilidad también es una advertencia en el campo DeFi.

CertiK recomienda:

Garantía de seguridad completa = auditoría de seguridad + detección en tiempo real + protección de activos

Tags：

SOL