16 万美元资产被盗竟是乌龙事件？成都链安简析 Yeld.finance 「闪电贷攻击」事件

事件概览

北京时间 2021 年 2 月 27 日， 【链必安-区块链安全态势感知平台（Beosin-OSINT）】 舆情监测到，DeFi 知名项目 Yeld.finance 官方发出通告，表示该项目的 DAI 池遭受到闪电贷攻击，原文链接如下：

https://yeldf.medium.com/the-yeld-dai-earn-vault-has-been-hacked-93f27d475b1b

成都链安（Beosin）安全团队第一时间介入响应，对原文中所提及的交易

(0x57b378f8d20d3945ab40cd62aa24063f375bcfc5693c2e788dc193ffa1a5cc3a) 进行分析。经分析后发现，该笔交易为 Yeld.finance 项目自身的策略机制 而导致的资金转移，与 闪电贷攻击 无关。闪电贷攻击表示不背这个锅。

事件分析**

图 1 交易信息

如图 1 所示，该笔交易是名为 0xf0f225e0 的用户，调用了 0xe780cab7ca8014543f194fc431e6bf7dc5c16762 合约的 deposit 函数 。经确认，0xef80cab7 合约正是项目方的 DAI 池。该笔交易一共产生了 6 笔 代币转移，分别用 T1 到 T6 表示。那么，这些 代币转移 究竟是什么操作导致的呢？下面通过代码进行分析：

图 2 deposit 函数源代码

很明显，第 538 行代码，产生导致了序号为 T1 的代币转移，将 token （即 DAI）转移到 yDAI 合约。这是一笔普通的代币转账，表示用户存入了 9,377 DAI 到 yDAI 合约。

第 541-553 行代码，是 yDAI 合约用于计算用户存入的 DAI 应返回给用户多少 yDAI，并在第 554 行进行铸币，对应序号为 T2 的代币转账，表示 yDAI 合约向用户铸了 9,306 yDAI 。

然后进入第 555 行的 rebalance 函数 ，分析该函数的逻辑。

图 3 rebalance 函数源码

图 4 recommend 函数

第 732 行代码会计算 newProvider，该函数会调用 recommend 函数 (如图 4 所示)，recommend 函数会调用 IEarnAPRWithPool 合约查询 4 个 Defi 项目 DYDX,COMPOUND,AAVE,FULCRUM 中，年利率 (APR) 最高的项目，查询结果如图 5 所示：

图 5 recommend 查询结果

其中 dYdX 池 的 APR 最高，newProvider 被设置为 dYdX 池。当前池为 AAVE 池，进入 736 行的 if 代码块，调用 内部函数_withdrawAll 。

图 6 _withdrawAll 函数源代码

第 778 行代码将会提出 AAVE 池中的所有 DAI，产生了序号为 T3-T5 的代币转移，具体代码可参考 AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d) 合约 redeem 函数相关代码，此处不再详述。

最后是第 741 行代码，将从 AAVE 中提出的 16.6 余万枚 DAI 存入 dYdX 合约，产生了序号为 T6 的代币转移，即将 16.6 万枚 DAI 存入 dYdX 池。

整个交易就此结束，可以看到，这次所谓的「闪电贷攻击」只是「虚惊一场」 。用户只是单纯的存入了一笔 DAI，然后刚好触发了 Yeld.finance 项目的策略机制，并不是所谓的「闪电贷攻击」，可谓是闹了场「乌龙事件」。

值得注意的是，dYdX 在该事件中充当了一个「良心商家」的角色，并不是以往闪电贷攻击中的帮凶。

安全建议

尽管本次事件经成都链安（Beosin）安全团队分析后被判断为虚假一场，但在这里还是有必要提醒各项目方，依然需要在日常的安全防护工作中，对闪电贷攻击 加以预警和防范 。

同时，作为 致力于区块链生态安全建设 的成都链安（Beosin）也在此建议，项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量，搭建 覆盖全生命周期的一站式安全解决方案 方为万全之策。