黑客通过闪电贷获得攻击启动资金，利用 Yearn 项目代码漏洞完成整个攻击。

原文标题：《Yearn.Finance 惊爆漏洞，DeFi 再遭打击，一文带你探明事件始末！》 撰文： CertiK

2 月 5 日消息，据 DeBank 数据显示，DeFi 真实锁仓量突破 470 亿美元，创下历史新高，本文撰写时为 478.3 亿美元，约等于 3095 亿人民币。

2020 年被称为「DeFi 元年」，DeFi 在 Compound 首创的 「流动性挖矿」推动下获得了历史性的大爆发，然而其安全风险居高不下。

北京时间 2 月 5 日凌晨，CertiK 安全技术团队发现 DeFi 项目 Yearn.Finance 发生攻击事件，攻击总损失高达约 7100 万人民币，黑客从中获利约 1800 万人民币。

黑客通过闪电贷获得攻击启动资金，利用 Yearn 项目代码漏洞，完成整个攻击。

此次攻击总计包括 11 笔利用漏洞获利交易以及 3 笔转换代币交易，交易列表如下：

除开 3 笔转换代币交易之外，剩余 11 笔获利交易均针对同一个漏洞，使用相同的攻击方式完成的获利。

攻击大致流程图如下：

具体步骤如下：

利用闪电贷筹措攻击所需初始资金。

利用 Yearn.Finance 合约中漏洞，反复将 DAI 与 USDT 从 3crv 中存入和取出操作，目的是获得更多的 3Crv 代币。这些代币在随后的 3 笔转换代币交易中转换为了 USDT 与 DAI 稳定币。

完成 5 次重复的 DAI 与 USDT 从 3crv 中存取操作后，偿还闪电贷。

CertiK 安全技术团队当前正在审查 Yearn.Finance 中存在的漏洞，更多漏洞细节将在后续分析中进行详解。

加密世界的交互往往都伴随着一定的风险，而投资于安全的项目会收到更加长远的回报。

而高收益必定伴随着高风险，此次漏洞的爆发同样是 DeFi 领域的一个警示。

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻 ChainNews 立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

链闻仅提供相关项目信息，不构成任何投资建议。

坚决杜绝各类代币发行及炒作，如发现文章含敏感信息，请点击「举报」，我们会及时处理。

举报

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。