CertiK：Yearn.Finance惊爆漏洞，总损失约7100万人民币

原文标题：《CertiK：Yearn.Finance 惊爆漏洞，DeFi 再遭打击，一文带你探明事件始末》

原文来源：CertiK

2 月 5 日消息，据 DeBank 数据显示，DeFi 真实锁仓量突破 470 亿美元，创下历史新高，本文撰写时为 478.3 亿美元，约等于 3095 亿人民币。

2020 年被称为「DeFi 元年」，DeFi 在 Compound 首创的「流动性挖矿」推动下获得了历史性的大爆发，然而其安全风险居高不下。北京时间 2 月 5 日凌晨，CertiK 安全技术团队发现 DeFi 项目 Yearn.Finance 发生攻击事件，攻击总损失高达约 7100 万人民币，黑客从中获利约 1800 万人民币。黑客通过闪电贷获得攻击启动资金，利用 Yearn 项目代码漏洞，完成整个攻击。

攻击者获利数目截图

此次攻击总计包括 11 笔利用漏洞获利交易以及 3 笔转换代币交易，交易列表如下：

除开 3 笔转换代币交易之外，剩余 11 笔获利交易均针对同一个漏洞，使用相同的攻击方式完成的获利。攻击大致流程图如下：

具体步骤如下：

-利用闪电贷筹措攻击所需初始资金。

-利用 Yearn.Finance 合约中漏洞，反复将 DAI 与 USDT 从 3crv 中存入和取出操作，目的是获得更多的 3Crv 代币。这些代币在随后的 3 笔转换代币交易中转换为了 USDT 与 DAI 稳定币。完成 5 次重复的 DAI 与 USDT 从 3crv 中存取操作后，偿还闪电贷。

-CertiK 安全技术团队当前正在审查 Yearn.Finance 中存在的漏洞，更多漏洞细节将在后续分析中进行详解。

总结

加密世界的交互往往都伴随着一定的风险，而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险，此次漏洞的爆发同样是 DeFi 领域的一个警示。

声明：此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。本网站所提供的信息，只供参考之用。