usdt转换 CertiK：恢复 Year rn.Finance 的攻击

2 月 5 日，根据 DeBank 数据usdt转换，DeFi 真实锁仓量突破 1 亿美元，创历史新高。 写这篇文章的时候是3亿美元usdt转换，约合人民币1亿元。

2019年被称为“DeFi元年”。 DeFi在Compound首创的“流动性挖矿”驱动下实现了历史性爆发，但其安全风险依然居高不下。

北京时间2月5日凌晨，CertiK安全技术团队发现了针对DeFi项目Yearn.Finance的攻击。 此次攻击总损失高达1万元人民币左右，黑客获利约1万元人民币。

黑客通过闪贷获得攻击启动资金，利用Yearn项目的代码漏洞完成整个攻击过程。

攻击者收益截图

此次攻击包括 11 笔获利交易和 3 笔代币兑换交易。 交易清单如下

除了3笔代币兑换交易外，其余11笔获利交易均针对同一个漏洞，使用相同的攻击手段完成获利。

攻击的大致流程图如下

具体步骤如下

使用快速贷款来筹集攻击所需的初始资金。

利用Yearn.Finance合约的漏洞，反复向3crv充值、提现DAI和USDT，以获取更多的3Crv代币。 这些代币在随后的 3 次转换代币交易中被转换为 USDT 和 DAI 稳定币。

在3crv完成5次重复的DAI和USDT充提操作后，偿还闪贷。

CertiK安全技术团队目前正在对Yearn.Finance中的漏洞进行审核，更多漏洞细节将在后续分析中进行说明。

总结

加密世界中的互动往往伴随着一定的风险，投资于安全的项目将获得更长期的回报。

而高回报必然伴随着高风险。 该漏洞的爆发也是DeFi领域的一次警示。