YFI创始人AndreCronje翻车记：EMN被盗1500万美元究竟缘何？

作者：小岛，前谷歌工程师、 Y3D 创始人

Memento te hominem esse：谨记你不过只是一个人。

—— 《世界语言简史》，常被引用的拉丁语名言

这已经不是 Andre 第一次翻车了，今年早些时候，Andre 在刚开始构建 yCrv 的时候，就发生过一次事故，使得一个早期用户损失了 14w 美金。

Medium, Andre Cronje, Post mortem 28–02–2020

Medium, Andre Cronje, Post Mortem of the Post Mortem

这件事件之后，Andre 的置顶推文就是那则著名的 Disclaimer。

而就在本月中旬，YFI 的社区项目 SAFE 也发生了内幕交易，提前买入了大额保单。虽然不是 Andre 的直接责任，但依然对 YFI 的社区造成了一定影响。

DeFi 保险挖矿项目 yieldfarming.insure 创始人披露项目成员 Azeem Ahmed 不诚信行为

昨天发生的事故无论是损失金额，还是波及的人数，都比前几次事故要远远严重。而且事故原理也更加简单，简直可以作为 Flashloan 的入门教程了。以至于 Andre 都写不出像样的 Postmortem 来进行说明。

事故原理

Flashloan 大家一定已经不陌生了，在今年 EtherDenver 期间，DeFi 项目 bZq 就曾连续发生数次事故。其中第二次攻击并不是合约代码的漏洞，而是利用了合约设计的缺陷 —— 所有合约都按照预定的设计在执行工作，但当这些合约组合时却形成了无风险套利的可能。因为攻击者需要在一笔 tx 内同时完成「借款」和「还款」的操作，因而这种攻击方法被称之为闪电贷??（Flashloan）。DragonFly 的研究员 Haseeb Qureshi 就曾 撰文，称这种类型的攻击将会成为 DeFi 开发中的「新常态」（New Normal）。

Flash Loans: Why Flash Attacks will be the New Normal

Lasse Clausen, The second @bZxHQ exploit was the first significant economic hack of the space

事故合约

https://etherscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

https://etherscan.io/address/0xc08f38f43adb64d16fe9f9efcc2949d9eddec198#code

黑客地址

https://etherscan.io/tx/0x3503253131644dd9f52802d071de74e456570374d586ddd640159cf6fb9b8ad8

我们可以看到黑客一共发起了三次 Create Contract 操作，并且再得手之后还还回去一半

本文来源：星球日报
原文标题：YFI创始人AndreCronje翻车记：EMN被盗1500万美元究竟缘何？

—-

编译者/作者：星球日报

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。