一、事情概览
北京时间2021年2月27日,【链必安-区块链安全态势感知平台(Beosin-OSINT)】舆情监测到,DeFi知名项目Yeld.finance官方宣布布告,表明该项目的DAI池遭受到闪电贷进犯,原文链接如下:
https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b
成都链安(Beosin)安全团队第一时间介入呼应,对原文中所提及的买卖
(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a)进行剖析。经剖析后发现,该笔买卖为Yeld.finance项目本身的战略机制而导致的资金搬运,与闪电贷进犯无关。闪电贷进犯表明不背这个锅。
二、事情剖析
△图1 买卖信息
如图1所示,该笔买卖是名为0xf0f225e0的用户,调用了0xe780cab7ca8014543f194fc431e6bf7dc5c16762合约的deposit函数。经承认,0xef80cab7合约正是项目方的DAI池。该笔买卖一共产生了6笔代币搬运,分别用T1到T6表明。那么,这些代币搬运究竟是什么操作导致的呢?下面经过代码进行剖析:
△图2 deposit函数源代码
很明显,第538行代码,产生导致了序号为T1的代币搬运,将token(即DAI)搬运到yDAI合约。这是一笔一般的代币转账,表明用户存入了9,377 DAI到yDAI合约。
第541-553行代码,是yDAI合约用于核算用户存入的DAI应返回给用户多少yDAI,并在第554行进行铸币,对应序号为T2的代币转账,表明yDAI合约向用户铸了9,306 yDAI。
然后进入第555行的rebalance函数,剖析该函数的逻辑。
△图3 rebalance函数源码
△图4 recommend函数
第732行代码会核算newProvider,该函数会调用recommend函数(如图4所示),recommend函数会调用IEarnAPRWithPool合约查询4个Defi项目DYDX,COMPOUND,AAVE,FULCRUM中,年利率(APR)最高的项目,查询成果如图5所示:
△图5 recommend查询成果
其间dYdX池的APR最高,newProvider被设置为dYdX池。当前池为AAVE池,进入736行的if代码块,调用内部函数_withdrawAll。
△图6 _withdrawAll函数源代码
第778行代码将会提出AAVE池中的所有DAI,产生了序号为T3-T5的代币搬运,具体代码可参考AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d)合约redeem函数相关代码,此处不再胪陈。
最终是第741行代码,将从AAVE中提出的16.6余万枚DAI存入dYdX合约,产生了序号为T6的代币搬运,行将16.6万枚DAI存入dYdX池。
整个买卖就此结束,可以看到,这次所谓的“闪电贷进犯”仅仅虚惊一场。用户仅仅单纯的存入了一笔DAI,然后刚好触发了Yeld.finance项目的战略机制,并不是所谓的“闪电贷进犯”,可谓是闹了场乌龙事情。
值得注意的是,dYdX在该事情中充当了一个“良心商家”的人物,并不是以往闪电贷进犯中的帮凶。
三、安全主张
虽然本次事情经成都链安(Beosin)安全团队剖析后被判别为虚假一场,但在这儿仍是有必要提醒各项目方,仍然需要在日常的安全防护工作中,对闪电贷进犯加以预警和防备。
同时,作为致力于区块链生态安全建造的成都链安(Beosin)也在此主张,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力气,搭建掩盖全生命周期的一站式安全解决方案方为万全之策。
视野开拓
第1章 女士品茶 实验的设计 科学家需要从潜在实验结果的数据模型开始工作。 实验设计的第一步是建立一组数学公式,用以描述待搜集数据与欲估计结果之间的关系。 第2章 偏斜分布 弗朗西斯·高尔顿(Facis Galto) 在人口统计中发现了“向平均回归”(egessio to the mea)的现象。 高尔顿发现了这种关系的一种数学测度,他称之为“相关系数”(coefficiet of coelatio) K·皮尔逊(Kal Peaso) 单个实验的结果是随机的,分布的统计模型却使我们能够描述这种随机的数学性质。 测量值本身,而不是测量的误差,就具有一种正态分布。 “偏斜分布”(skew distibutio):四个参数分别被称为: 1. 平均数(the mea)——测量值散布状态的中间值; 2. 标准差(the stadad deviatio)——测量值的散布与平均值偏离有多远; 3. 对称性(symmety)——测量值在平均值一侧规程的程度; 4. 峰度(kutosis)——个别的观测值偏离平均值有多远。 K·皮尔逊的偏斜分布体系并没有包含所有可能存在的分布,许多重要问题不能用K·皮尔逊的体系解决。 “拟合优度检验“(goodess of fit test)的基本统计工具 K·皮尔逊的革命所留下来的是这样一个观念:科学的对象并不是不可观测事物本身,而是数学分布函数,以描述与所观测事物相联系的概率。 第3章 可爱的戈塞特先生 威廉·西利·戈塞特(William Sealy Gosset) t检验 第4章 在“垃圾堆”中寻觅 第5章 收成变动研究 “方差分析”(aalysis of vaiace) 第6章 “百年不遇的洪水” L·H·C·蒂皮特(Leoad Hey Caleb Tippett) 极值分布...-《女士品茶》
![[余烬Ember]以太坊ETF决议前市场悲观,美国司法部指控大学生涉及以太坊MEV洗钱行为](https://pic.rmb.bdstatic.com/bjh/user/31a4de3fbc29f1c46df415cdd9133c30.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[鬼谷子BTC]](https://pic.rmb.bdstatic.com/bjh/user/5b26477ae709a2bf5da2d50ab2995c3d.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
