【DeFi 被黑复盘】💸 29万美金损失不大,但 #DeFi 正在被自己的旧代码攻击!!
📜 #Yearn.Finance 的一个旧合约(legacy contract)继 2023 年后今年 12 月中再次遭遇攻击的事件。损失金额不大,但该事件凸显了 DeFi 中不可更改的旧代码正成为黑客的长期攻击面。
⚡️ 我尽量用最简单的话,梳理了这次攻击的过程,没时间的可以只看图哦!
1️⃣ 攻击起点:闪电贷
攻击者首先从 Morpho 协议中发起一笔规模高达 3000 万 USDC 的闪电贷,为后续操作提供充足流动性。
2️⃣ 锁定错误配置的旧金库
攻击目标是 Yearn 的 iearn TUSD(Legacy V1)金库。这一金库虽以 TUSD 作为底层资产,但其策略却被错误配置为追踪 Fulcrum iSUSD(实际持有的是 sUSD),资产身份出现根本性错配。
3️⃣触发关键漏洞
由于配置错误,攻击者向金库注入资产。由于金库无法正确识别和计量其真实资产,内部的 份额记账系统逻辑被扭曲,错误地将金库总余额压低至接近于零。
4️⃣ 份额通胀:近零分母导致无限铸造
当金库的总资产被错误压低后,份额计算公式中的关键基数失真。结果是,攻击者仅付出极低的成本,便获得了数量异常巨大的 yTUSD 份额。
5️⃣ 套现阶段:通过 Curve 池完成价值转移
手持大量凭空生成的 yTUSD 后,攻击者进入 Curve yPool,将这些份额抛售换取真实有价值的 yDAI 和 yUSDC,从而完成从“虚假资产”到真实资产的转换。
6️⃣ 成功黑客
最终,攻击者将所得稳定币兑换为约 103 $ETH (约 29.3 万美元)。
这宗被黑案件应该引起各个DeFi协议的反思:旧的智能合约的错误配置或漏洞也是不可忽视的!🫨
你觉得呢?🤔
信息来源:rekt.news
