作者：烤仔吐槽君 / 來源：資訊

攻擊者連續發動了 11 次攻擊（11 筆交易），每次攻擊的收益在十幾萬美元到三十幾萬美元不等，累計獲益約二百余萬美元，造成 Yearn 損失近一千萬美元。

我們分析了其中一筆攻擊交易的轉賬細節，來看看這期間的賬單流轉。

在這個攻擊中，攻擊者首先從閃電貸合約 dYdX 和AAVE 獲取了約 20 萬個 ETH，價值三億美元。然后將大部分存入了 Curve 池。

然后，攻擊者從 Curve 池取出大量 USDT, 導致 Curve 池中的 USDT 數量顯著下降，Curve 池出現“價格異常”，DAI和 USDC 變得廉價。此時，攻擊者讓Yearn向Curve充入大量DAI.

之后，攻擊者將大量 USDT 放回 Curve 池，價格恢復正常。此時，攻擊者再讓Yearn贖回 DAI. 由于 Yearn 在 DAI 的最低點充入了大量的 DAI，蒙受了損失。根據 Yearn 的內部機制，這些損失由所有人均攤。而放回 USDT 的攻擊者，則是這些損失的受益者。

此時，攻擊者損失了 DAI, 但獲得了 3Crv, 而且，有一部分損失是被所有 Yearn 用戶平分了。重復這個過程，攻擊者獲得了大量的 3Crv.

最后，攻擊者用收益的 3Crv 填補 DAI 上的損失，最后可以結余幾十萬美元到三十萬美元。

攻擊者地址參見：https://eth.btc.com/accountinfo/0x14ec0cd2acee4ce37260b925f74648127a889a28