Yearn.finance（YFI）快速修复“攻击向量”，类似于在$ 1b协议上使用的一种

Harvest Finance曾经是以太坊上价值10亿美元的农业协议，上周遭受了残酷的攻击，从用户帐户中损失了大约3000万美元。

假名攻击者利用了一笔短期贷款，以及Curve，Uniswap和Harvest之间的一系列操纵性交易，从而使他们能够从Harvest的池中消耗掉数百万美元的稳定币。

报告表明，攻击者可能一直在继续前进，并在协议中提取了近10亿美元的稳定币和代币化的比特币存款，但出于无法解释的原因而拒绝这样做。

这次攻击突显了如何利用快速贷款来利用DeFi协议中的经济漏洞，并筹集数百万美元。

尚不清楚他是否受到了Harvest Finance攻击的启发，该领域的一位安全研究员在最初的收益汇总器Yearn.finance中发现了类似的经济缺陷。 幸运的是，他没有利用此漏洞，而是向Yearn.finance团队报告了此漏洞。

Yearn.finance开发人员快速修复大问题

根据Yearn.finance首席开发人员Artem“ Banteg” K的报告，10月29日，安全研究员Li Wen-Ding Li通过必要的安全披露渠道与该协议背后的团队进行了联系。

李文鼎描述了可能在Yearn.finance的TUSD Vault上发生的快速贷款攻击的潜在攻击媒介。 Yearn.finance的核心产品是其保管库，该保管库的运行策略可以自动在每个保管库中存放已存放的令牌并产生服务器场。

“通过建立联系，文鼎透露，他拥有可以安装在TUSD保险库上的快速贷款攻击概念的初步证明，导致用户损失18％，攻击者可以逃走650k TUSD。”

@ xu3kev发现了一种新颖的紧急贷款攻击媒介，并被Yearn的安全团队迅速加以缓解。

在此处阅读公开内容：https：//t.co/BiLjUoCrBp

— banteg（@bantg）2020年10月31日

理论上的攻击向量与Harvest的类似，因为Yearn.finance Vault在存入和进入时没有正确考虑Curve内的滑移，从而使他们可以利用Curve上稳定币的价格来发挥优势。

正如Banteg进一步解释的那样：

“综合起来，这意味着攻击者可以限制Curve y池中的DAI供应，并从如下所述的不平衡中获利。”

幸运的是，该漏洞被迅速修复，并且保管库不再容易受到攻击。

据说，Yearn.finance的DAI和GUSD保险库容易受到同一攻击媒介的攻击，但是已经采取了适当的措施来避免这种情况的发生。

此攻击媒介不久后又被修补。 在9月底宣布，开发人员修补了“漏洞 [that] 可能使yDAI，yTUSD和yUSD保险库的资金面临风险。 “

发表于：以太坊，像你看到的一样？ 订阅每日更新。

—-

原文链接：https://newconomy.media/news/yearn-finance-yfi-rapidly-fixes-attack-vector-similar-to-one-used-on-1b-protocol-harvest

原文作者：newconomy

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。