据报道，2021年2月4日，星期四，一个未知的实体通过投资平台从共享的数字或在线保险库中偷走了280万美元 向往金融. 黑客使用Aave（一种分散式金融（DeFi）平台）利用了该库，该平台可让投资者进行快速借贷。这些DeFi解决方案的主要工作原理是提供快速借入和还款而无需提供抵押品.

Yearn.Finance的团队已发布了有关最新漏洞利用的详细事后报告。全球最大的稳定币发行人Tether Ltd也冻结了170万美元的USDT，涉嫌参与此安全漏洞, 系绳 首席技术官 保罗·阿多伊诺（Paolo Ardoino） 确认的.

Yearn.Finance团队首先证实，他们在其稳定币DAI贷款池中遭受了一次利用。然后在下午5:14 ET，来自Yearn.Finance团队的banteg，在他们的Discord频道上发帖称，攻击者“逃走了280万，dai Vault损失了1,110万。”

根据以太坊的地址，可能与攻击有关，它已经发放了Aave紧急贷款以触发金库的耗尽。值得注意的是，Yearn.Finance是领先的DeFi平台之一，现已以使存款人能够从其已存入的代币中恢复其全部收益或回报而闻名。 Yearn对其保管库进行了更新，但是，就像许多其他智能合约平台一样，以前的智能合约仍然存在.

DeFi Pulse数据 数据显示，Yearn的合同中锁定了价值超过4.8亿美元的资产。在DeFi平台的第1版中，Yearn的许多贷款池一直以来年收益率超过20％.

活跃在Yearn的Discord和Telegram频道上的用户最初报告了骇客事件和相关的漏洞，发生于2021年2月4日（星期四）下午。下午4:38左右在Yearn Discord服务器中的ET上，Jeffrey Bongos询问人们是否知道为什么v1Dai保管库显示出他们在几分钟内丢失了大量Dai。下午5点之后ET，Yearn网站上的v1 DAI保管库的前端损失超过1000％.

由于安全漏洞，Yearn的YFI治理令牌的价格暴跌至4,000美元，但在撰写本文时，令牌的交易价格超过31,000美元。价格下降似乎是在该漏洞被公众所知之后发生的（当时UniWhales的Twitter帐户报告了YFI的主要用于ETH的出售）.

百万 + $ YFI 几分钟前交换到ETH.&＃128064;&＃128064; pic.twitter.com/RtAAN90s2n

-UniWhales DAO（@uniwhalesio） 2021年2月4日

据报道，被攻击的保险库是Yearn的v1 DAI保险库，该保险库已于2021年1月更新为新的投资策略.

攻击发生时，保险库的策略是将所有资金存入自动做市商的“ 3pool”中 曲线 它持有包括DAI，USDT和USDC在内的各种稳定币，并允许平台用户以非常低的滑点彼此交换这些数字资产.

迈克尔·埃格罗夫（Michael Egorov）, Curve的首席执行官曾解释说，一个坏演员已经向Curve 3pool存款，以便操纵池提供的DAI价格.

保险库某种程度上取决于此池提供的DAI价格。 Egorov补充说，随后该漏洞利用之后撤回了合同，并多次重复使用了快速借入的资金。他解释说，这是一个有据可查的问题，在其他协议（例如Uniswap）中可能会看到，但是领先的ERC-20代币交换并不经常用于收益农业.

Egorov补充说，他已将有关此问题的观点传达给Yearn.Finance团队，以及如何防止此问题以及其他类似漏洞利用。但是，他承认，他没想到他们在编写代码时会犯这种类型的错误。.

作为 总结 在验尸报告中：

“针对Yearn的v1 yDAI保险库进行的攻击已导致1100万DAI的保险库存款丢失。 Yearn的安全团队和多签名钱包签名者在大约11分钟的时间内采取了行动，能够在攻击进行期间阻止该攻击，从而在Vault的3500万DAI存款总额中节省了2400万DAI。通过在Curve的3pool中造成汇率失衡，开发者能够使Yearn的yDAI保管库在一系列交易中以不利的汇率从3pool存入和提取资金。”

该报告进一步指出：

“攻击者在攻击过程中持有相当一部分Curve 3pool，然后撤回USDT，DAI和ETH，从而从亏损中获利。估计已产生了270万的DAI利润。”

值得注意的是，即使攻击者窃取了Yearn的价值1100万美元，他们进行这项攻击仍需要大量费用。他们“只能”赚到270万美元的利润，而黑客攻击期间的流动资金池费用和抵押人费用各为350万美元。 Aave v2费用约为140万美元.