本文回顾了黑客攻击安德烈的新项目，yfi的创始人

资料来源：matataki

作者：小岛曼内子

记住你只是一个人。–世界语言简史

这已经不是 Andre 第一次翻车了，今年早些时候，Andre 在刚开始构建 yCrv 的时候，就发生过一次事故，使得一个早期用户损失了 14w 美金。

中，安德烈·克朗杰，验尸28-02-2020

中等，安德烈·克朗杰，验尸报告

在这件事之后，安德烈的推特是著名的免责声明。

而在本月中旬，yfi的社区项目保险箱也有内幕交易，并提前购买了大量保单。虽然这不是安德烈的直接责任，但它仍然对yfi的社区产生了一定的影响。

昨天的事故，无论是损失金额，还是受灾人数，都远比以往的事故严重。而且事故原理也比较简单，可以作为闪贷的入门。就连安德烈也写不出像样的验尸报告来说明这一点。

事故原则

你们大家一定很熟悉Flashloan。在今年的以太丹佛期间，DeFi项目的bfzq发生了几起事故。第二次攻击不是合同法的漏洞，而是合同设计的缺陷。所有的合约都是按照预定的设计来执行的，但当这些合约组合在一起时，就有无风险套利的可能。由于攻击者需要在TX中同时完成“借”和“还”的操作，这种攻击方法被称为“闪电贷款”（lightning loan），蜻蜓研究人员Haseeb Qureshi曾撰文称，这种类的攻击将成为DFI开发中的“新常态”

意外事故合同

https://ETHerscan.io/address/0x5ade7ae8660293f2ebfcefaba91d141d72d21e8

https://ETHerscan.io/address/0xc08f38f43aadb64d16fe9f9efcc2949d9eddec198代码

黑客地址

https://ETHerscan.io/tx/0x3503253131644dd9f5280d071de74e456570374d586dd640159cf6fb9b8ad8

我们可以看到，黑客一共发起了三个创建契约的操作，成功后，他们返回一半。（好的工作作为奖励）

让我们看看受害者的一些具体案例。例如，老大哥花了390以太坊购买EMN，一个小时后才卖出一个。

另一个例子是@spzcrypto。。。在过去的几个小时里，我还在推@eminencefi。。下一个是rekt==。。。。

它看起来一点也不像在演戏。肯定会有更多这样的受害者。（但是u1s1，这个老大哥在instagram上的照片相当不错

虽然攻击合同不是开源的。。但是通过观察TX的内部转移，我们可以看到。。。这是一个标准的快速贷款的一种过程。。。。恢复攻击原理很容易。下面的线程详细描述了攻击过程：

如果你困惑于黑客是如何成功榨干 $EMN 合约的，这里是具体的机制。EMN 合约允许你用 DAI 作为储备金，铸造 EMN。它使用标准的类似 Bancor 的曲线 —— DAI 被用作 EMN 的储备货 币 ，EMN 代 币 的价格由 EMN 的数量与储备货 币 中的数量决定。

第二代币，eaave与之相似，但有一个小而重要的区别——它使用EMN作为储备商品，但它是“虚拟的”——如果你通过发送EMN来铸造eaave，而不是将EMN储存在备用中，那么eaave合同实际上会破坏EMN。此交互允许攻击者将以下事务（所有事务在一个事务中以原子方式完成-闪存借出）作为一种️）。完整的攻击过程如下：

Uniswap提供的短期贷款需要一种1500万Dai的贷款。

用你的Dai尽可能多地投EMN（忽略价格）。

Eaave用了一半的EMN。这将消耗EMN，减少EMN的总供给，从而提高EMN的价格。

以1000万英镑的价格出售EMN的下半部分（请注意，这远远超过750万美元DAI的本金）。

现在卖了你的eaave，收回EMN的前半部分，降低EMN的价格。

以664.9万英镑的价格卖出上半年的EMN。

向Uniswap偿还1500万英镑的短期贷款，可享受167万英镑的利润。

重复上述策略三次。

黑客能在如此短的时间里发现合约的漏洞，因而社区猜测也是一次内线作案。虽然说 Test in Prod 是 Andre 的标准做法。但是今天的 Andre 头顶 YFI 之父的光环，其对社区的影响以不可同日而语。正所谓力量越大责任也越大，发生这样的事故，Andre 本人其实难辞其咎。

随访

昨天，与事故有关的Yfi 币的价格下跌了16%。

安德烈本人说，他收到了许多受害者的人身威胁。安德烈后来说，他将永久封存他长期以来的传奇账户渴望。部署者也不再使用Twitter shill自己的新项目。

安德烈失去了右臂。。。Yfi社区KOL，第一次到山上，见证了被@bluekirby震撼的全过程。。。。蓝星卡比说他将从yfi社区辞职。

到目前为止，这一事件的影响还在发酵中。

温馨提示：

文章标题：本文回顾了黑客攻击安德烈的新项目，yfi的创始人

文章链接：https://www.btchangqing.cn/112965.html

更新时间：2020年09月30日

本站大部分内容均收集于网络，若内容若侵犯到您的权益，请联系我们，我们将第一时间处理。