Yearn向安全研究員xyzaudits發放20萬美元獎金以獎勵其披露安全漏洞

yearn.finance （YFI）核心開發者banteg發推稱，Yearn已向安全研究員xyzaudits發布了20萬美元的獎金。杠桿式COMP耕作策略中的漏洞已得到修復，沒有資金損失。據悉，安全研究員xyzaudits通過Yearn的安全流程披露了GenLevComp策略類型中的一個攻擊向量。Yearn的yvDAI金庫附加了兩個可能受影響的GenLevComp策略，如果成功利用，攻擊者將能夠清算受影響策略在Compound上的全部債務頭寸，并有可能獲得清算費用。

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

Akropolis整合Yearn.Finance的v2 yVaults已上線:去中心化金融平臺Akropolis表示，整合Yearn.Finance的v2 yVaults已上線。v2 yVaults包括steCrv、HEGIC、DAI等。[2021/2/3 18:45:53]

Yearn Partner周報：SushiSwap交易量11月增加11億美元:據官方消息，根據Yearn Partner的最新周報：

1.SushiSwap交易量在11月增加了11億美元。同期DEX總交易量在各交易所下降15.8%，受Uniswap和Curve影響最大，但SushiSwap交易量繼續上升。

2.關于將YFI增加到SushiSwap treasury中的投票通過，分配如下：60%的SUSHI，20%的USDC+DAI，10% ETH，5%的YFI，5%的BTC（tBTC-renBTC-wBTC）。

3.引入Onsen。Onsen是SushiSwap新的流動性挖礦激勵計劃，取代了Menu of the Week計劃，旨在帶來長期的積極流動性變化，并確保平臺的穩定性。

4.關于增加新的開發人員到核心團隊的提案：開發BentoBox的Clearwood已經提出了一項提案，概述了他全職開發SushiSwap的意圖。[2020/12/12 14:59:40]