受知名漏洞打击严重的DeFi Degens将得到部分补偿

这一切都始于几次转发。

9月28日，Yearn Finance负责人Andrew Cronje转推了名为Eminence的新项目的图形设计，该项目被Cronje称为“游戏多元宇宙”的DeFi协议。 据称该游戏是2016年推出的名为Eminence：Xander’s Tales的交易的纸牌游戏的衍生产品，可能包含不可替代的代币（NFT）。

转推包括“ Spartan”和“ Marine”字样的图形设计（对Synthetix和Chainlink粉丝群的各个绰号的嬉戏点头），并且是“艺术预告片”，旨在“展示游戏中所有不同的氏族”。根据克罗涅（Cronje）的说法。

订阅我们每日更新的最新消息-Blockchain Bites，订阅后，您将收到有关CoinDesk产品的电子邮件，并且您同意我们的条款和条件以及隐私政策。

克罗涅（Cronje）打了推文，然后就寝了。 当他醒来时，他会发现这条推文显然足以让DeFi用户将价值1500万美元的DAI丢弃到已有数天的协议中，该协议在以太坊的主网上仍在接受Cronje及其团队的alpha测试。 。 Eminence甚至没有一个网站可以用作交易的前端。 而是第一个用户直接与Eminence智能合约交换令牌。

当天晚上，一名用户利用了Eminence的代码并耗尽了1500万美元。 然后，同一名攻击者将DAI中的800万美元返还给了由Cronje控制的Yearn智能合约。

现在，即使在漏洞利用后的72小时之内，受影响的用户也已经收回了部分损失。

地毯拉力和随后的救助在DeFi中并非首例。 这就引出了一个问题：DeFi社区是否从错误中学到了东西？

杰出的“ hack”解释

漏洞利用本身（甚至不是黑客）非常简单。

由Yearn Deploy智能合约生成的EMN令牌最初是通过绑定曲线进行分配的，这是少数DeFi产品使用的一种新颖的令牌分配方案。 这些绑定曲线是智能合约，可以与最终用户“交易”代币，分配一个代币以换取另一个。

对于Eminence，用户将DAI存入智能合约并获得EMN作为回报。 如果将EMN发送到智能合约，则会将其刻录，并且用户会收到DAI作为回报。

您还可以将EMN交换为其他5个令牌（eAAVE，eLINK，eYFI，eSNX和eCRV，流行令牌的所有Eminence包装版本都带有相同的代码）。 这样做会烧毁沉积的EMN。 相反，如果您将这些代币存入各自的绑定曲线合约中，则会被燃烧，并且您会收到新铸造的EMN。

为了利用这些合同，攻击者从Uniswap那里获得了1500万DAI的即时贷款，并用其购买了EMN。 然后，他们将这个EMN交易并燃烧了一半，换成了eAAVE，从而推高了EMN的价格。 从这里开始，他们将其余的EMN换为DAI，将其eAAVE换成更多的EMN，然后最终将此EMN换为DAI。

当攻击者采取行动时，已经有人在Uniswap上部署了EMN交易对。

重复此过程三次，以使黑客获得15,015,533 DAI的收益。 2月，针对bZx协议使用了Flash借用的类似攻击。

Yearn Finance的回应和代币重新分配

令人惊讶的是，经过所有这些努力，攻击者的想法有所改变：他们将800万美元的DAI转移到Yearn Finance合同中，Cronje立即??将其发送给Yearn多重签名。

少数开发人员（其中一个在Yearn上工作）开发了一种方法，可将DAI分发给受此漏洞导致EMN价格暴跌的用户。 DAI计价的赔偿现正分发给通过债券曲线合约和Uniswap交易EMN的用户。

“接收 [the DAI tokens] 感觉就像我们被授予了一颗滴答作响的炸弹，” Yearn核心开发人员banteg告诉CoinDesk。 他补充说，该团队快速工作以分配资金，以免受影响的用户感到不安。

Banteg认为，大多数受影响的用户都处于“循环中”，因为在发行发行合同后的19分钟内要求了一半的赔偿。 根据与CoinDesk共享的数据banteg的说法，仅需支付$ 338,000的DAI。

纵观攻击者的不良行为，惨败由两种驱动力加剧：信任和贪婪。

Cronje在推文中从未说过Eminence协议已经准备就绪。 他甚至没有提到协议的目的。 但是，来自Yearn背后的家伙发了一条推文-DeFi独角兽的价格从今年的31美元飙升至今年的43,000美元以上-足以使交易员加入Eminence的代币中。

向往又一个月球射击，无畏的Eminence用户在Cronje发出任何已准备好为投资者准备就绪的信号之前就开始与该协议进行交互。 在此事件发生之前，他甚至在推特上警告说，任何使用他的协议的人都应该谨慎行事。

此后，克罗涅（Cronje）在Twitter上表达了他打算继续进行Eminence的工作，并补充说他大约有100份合同需要测试。 他还提醒DeFi忠实者在使用它们之前“等待官方声明”。

尽管如此，一些受影响的交易者已经从损失中恢复过来，他们还没有准备好让Cronje摆脱困境。

“为什么要将未完成的代码放在主网上进行测试？” 一位用户插话。“合同应该已经在测试网上。”

其他人，例如Delphi Digital的Tom Shaughnessy，为Cronje辩护，确认“这不是 [his] 人们退化成的错 [his] 在完成之前进行工作。”

DeFi的课程难学还是难学？

确实，所谓的DeFi degens拥有在深入审查之前先“进入”智能合约以寻求收益的声誉。 例如，早在八月，就在交易商将价值数亿的代币存入收益农业协议Yam Finance的几天之前，即未经审计的代码中的错误将代币的价格推高了。

最近，交易员在当时未经审计的SushiSwap合约中存入了如此多的代币，其交易量超过了Uniswap。 几天后，SushiSwap的创造者以1300万美元的ETH抛弃了其开发者所持SUSHI代币的份额，只是在一团罪恶感后将ETH的总金额返还给SushiSwap资金库。

现在有了Eminence漏洞利用和摘要归还功能，DeFi交易者还有另一个理由对未经审查的协议持保留态度。 但是随着回报的增加，他们的损失有所缓解，一旦下一个“重大新事物”到来，也许就可能忘记了这一教训。

—-

原文链接：https://www.coindesk.com/eminence-exploit-defi-compensated

原文作者：Colin Harper

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。