图 5 recommend 查询结果 其中 dYdX 池 的 APR 最高,newProvider 被设置为 dYdX 池。当前池为 AAVE 池,进入 736 行的 if 代码块,调用 内部函数_withdrawAll 。 图 6 _withdrawAll 函数源代码 第 778 行代码将会提出 AAVE 池中的所有 DAI,产生了序号为 T3-T5 的代币转移,具体代码可参考 AAVE(0xfC1E690f61EFd961294b3e1Ce3313fBD8aa4f85d) 合约 redeem 函数相关代码,此处不再详述。 最后是第 741 行代码,将从 AAVE 中提出的 16.6 余万枚 DAI 存入 dYdX 合约,产生了序号为 T6 的代币转移,即将 16.6 万枚 DAI 存入 dYdX 池。 整个交易就此结束,可以看到,这次所谓的「闪电贷攻击」只是「虚惊一场」 。用户只是单纯的存入了一笔 DAI,然后刚好触发了 Yeld.finance 项目的策略机制,并不是所谓的「闪电贷攻击」,可谓是闹了场「乌龙事件」。 值得注意的是,dYdX 在该事件中充当了一个「良心商家」的角色,并不是以往闪电贷攻击中的帮凶。 安全建议尽管本次事件经成都链安(Beosin)安全团队分析后被判断为虚假一场,但在这里还是有必要提醒各项目方,依然需要在日常的安全防护工作中,对闪电贷攻击 加以预警和防范 。 同时,作为 致力于区块链生态安全建设 的成都链安(Beosin)也在此建议,项目方的安全预警机制和安全加固工作切不可等闲视之。寻求第三方安全公司的力量,搭建 覆盖全生命周期的一站式安全解决方案 方为万全之策。 来源链接:mp.weixin.qq.com (责任编辑:admin) |