Première version | Yearn.La vulnérabilité choquante des finances DeFi a encore frappé.Cet article vous amènera à découvrir toute l'histoire

Le 5 février, selon les données de DeBank, le volume réel de verrouillage de DeFi dépassait 47 milliards de dollars américains, un record. Au moment de la rédaction de cet article, il était de 47,83 milliards de dollars américains, ce qui équivaut à environ 309,5 milliards de yuans.

2020 est connue comme la « première année de la DeFi ». La DeFi a réalisé une explosion historique grâce à l'« extraction de liquidité » lancée par Compound, mais ses risques de sécurité restent élevés.

Aux premières heures du 5 février, heure de Pékin, l'équipe de technologie de sécurité de CertiK a découvert une attaque contre le projet DeFi Yearn.Finance. La perte totale de l'attaque s'est élevée à 71 millions de RMB, et le pirate a gagné environ 18 millions de RMB grâce à il.

Première version | imKey prend officiellement en charge Filecoin, devenant ainsi le premier lot de portefeuilles matériels Filecoin : le 1er décembre, avec le lancement d'imToken2.7.2, imKey prend en charge Filecoin simultanément, devenant ainsi le premier lot de portefeuilles matériels du secteur à prendre officiellement en charge FIL. Faisant partie des projets prioritaires soutenus par la multichaîne d'imKey, Filecoin est devenue la cinquième chaîne publique après les quatre chaînes publiques de BTC, ETH, EOS et COSMOS.

Il est rapporté que l'équipe imKey a entièrement lancé le plan de support multi-chaînes au quatrième trimestre, prévoyant de mettre en œuvre tous les projets de chaîne publique pris en charge par imToken.Cette mise à jour de mise à niveau imKey n'a pas besoin de remplacer le matériel, n'implique pas de mises à niveau du micrologiciel et peut être automatiquement mis à jour via l'application (applet) Réaliser le support d'imKey pour la gestion des jetons Filecoin et FIL. [2020/12/2 22:52:32]

Les pirates ont obtenu des fonds de démarrage d'attaque grâce à des prêts flash et ont exploité des failles de code dans le projet Yearn pour mener à bien l'ensemble de l'attaque.

Première version | Bithumb lancera un service de transfert d'actifs cryptés avec Bithumb Global : des initiés de Bithumb ont révélé à Jinse Finance que Bithumb lancerait un service de transfert rapide d'actifs en devises cryptés entre Bithumb et Bithumb Global sans frais de gestion. La limite quotidienne de transfert d'actifs cryptés est de 2 BTC . La nouvelle sera annoncée au public ce soir. Il est signalé qu'actuellement, seuls les transferts d'actifs BTC et ETH sont pris en charge. [2020/2/26]

Capture d'écran des bénéfices de l'attaquant

L'attaque comprenait un total de transactions lucratives 11 en exploitant des vulnérabilités et des transactions de jeton de conversion 3. La liste des transactions est la suivante :

Première version | DVP : Les vulnérabilités dans l'échange Bitstamp peuvent entraîner la fuite d'une grande quantité de KYC et d'autres informations : Golden Finance News, récemment, DVP a reçu une vulnérabilité dans l'échange de renommée mondiale Bitstamp soumis par le personnel de sécurité. Les attaquants peuvent l'utiliser. vulnérabilité pour afficher un grand nombre d'identifiants d'utilisateurs, les informations sensibles telles que les cartes bancaires constituent une menace sérieuse pour la sécurité des informations des utilisateurs. Afin d'éviter l'incident vicieux de la fuite KYC, l'équipe de sécurité DVP a demandé à la plate-forme de la réparer dès que possible après avoir reçu la vulnérabilité, mais n'a pas reçu de réponse. DVP rappelle aux utilisateurs concernés de faire attention à la sécurité des informations personnelles pour éviter les pertes. [2019/8/13]

Numéro de série

Objectif de la transaction

Bénéfice commercial

3Crv : 349852, USDT : 11305

3Crv : 316814, USDT : 11833

3Crv : 287544, USDT : 11818

3Crv : 258554, USDT : 11761

3Crv : 276366, USDT : 11472

3Crv : 249387, USDT : 11242

Convertir la moitié du total 3Crv obtenu dans les 6 premières transactions en USDT à but lucratif

869 260 3Crv à 878 188 USDT

3Crv:226448, USDT:11242

3Crv : 198877, USDT : 12302

3Crv:172524, USDT:11987

Convertir la moitié du montant total restant de 3Crv obtenu à partir de la transaction en cours en USDT à des fins lucratives

733 555 3Crv à 742 042 USDT 

3Crv:152217, USDT:11570

3Crv : 127856, USDT : 11017

Convertissez tous les 3Crv restants en DAI à des fins lucratives

506 814 Crv à 513 356 DAI  

À l'exception des 3 transactions de conversion de jetons, les 11 transactions lucratives restantes ciblaient toutes la même vulnérabilité et utilisaient la même méthode d'attaque pour réaliser le profit.

L'organigramme général de l'attaque est le suivant :

Les étapes spécifiques sont les suivantes :

Utilisez des prêts flash pour lever le capital initial nécessaire à l'attaque.

En utilisant les failles du contrat Yearn.Finance, déposez et retirez à plusieurs reprises DAI et USDT de 3crv afin d'obtenir plus de jetons 3Crv. Ces jetons ont été convertis en stablecoins USDT et DAI lors des 3 transactions de conversion de jetons qui ont suivi.

Après avoir effectué 5 opérations répétées de dépôt et de retrait DAI et USDT à partir de 3crv, remboursez le prêt flash.

L'équipe de technologie de sécurité CertiK examine actuellement les vulnérabilités de Yearn.Finance, et plus de détails sur les vulnérabilités seront expliqués dans une analyse ultérieure.

Conseils de sécurité

Les interactions dans le monde crypté s'accompagnent souvent de certains risques, et investir dans des projets sûrs générera des rendements à plus long terme.

Et des rendements élevés doivent s'accompagner de risques élevés.L'apparition de cette vulnérabilité est également un avertissement dans le domaine DeFi.

CertiK recommande :

Garantie de sécurité complète = audit de sécurité + détection en temps réel + protection des actifs

Tags：

Meilleur échange Ethereum