Yearn Finance项目疑似遭受攻击，黑客获利超1000万美元

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Yearn Finance项目疑似遭受到闪电贷攻击，黑客获利超1000万美元，目前资金全部存在黑客地址。 Beosin Trace将持续对资金流向进行监控。

收益聚合器Yearn推出由GPT驱动的服务yGenius:金色财经报道，收益聚合器Yearn宣布推出由GPT驱动的服务yGenius，以YearnFinance的文档内容为基础，帮助用户探索Yearn的生态系统。[2023/2/15 12:07:52]

慢雾：yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队第一时间跟进分析，并以简讯的形式给大家分享细节，供大家参考：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH；

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC；

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CruveDAI/USDC/USDT的大部分流动性；

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)贬值；

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币；

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复；

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例体现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次，并归还闪电贷，完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

YFI社区已通过回购和重建Yearn提案:1月20日早间，Yearn.finance （YFI） 核心开发者banteg发推宣布，“回购和重建Yearn”的提案已以99.44%的支持率获得通过。根据官方此前公布的信息，该提案具体内容是：1.使用YFI质押奖励在公开市场上回购YFI，并将回购的YFI用于贡献者奖励和其他Yearn活动。2.撤消YFI治理金库（yGov），使其不再起作用。3.即使在其他地方使用YFI代币时也允许参与YFI治理（如在SushiSwap中提供流动性）。[2021/1/20 16:34:48]

相关资讯