Yearn Фінанси DAI Vault «зазнало експлойту»; Витрачено 11 мільйонів доларів

ОНОВЛЕННЯ (5 лютого, 15:41 UTC): Yearn опублікував a докладний посмертний про експлойт у п'ятницю вранці. Крім того, Tether оголосив про заморожування 1,7 мільйона доларів USDT , залучених до атаки Tether директор Паоло Ардойно.

Yearn Фінанси зазнала експлойту в ONE зі своїх DAI пули кредитування, згідно з офіційним протоколом децентралізованого Фінанси (DeFi). обліковий запис Twitter.

О 17:14 год. ET, banteg, від команди Yearn, розміщено в Discord: "Зловмисник втік з 2,8 м, DAI вольт втратив 11,1 м."

Згідно з an Адреса Ethereum імовірно пов’язаний із експлойтом.

Yearn Фінанси є ONE із провідних майданчиків DeFi, відомим тим, що завжди дозволяє вкладникам відшкодувати весь свій дохід у вигляді токена, який вони спочатку внесли. Платформу нещодавно оновлено до нового набору сховищ, але, як і будь-яка платформа смарт-контрактів, попередні смарт-контракти збереглися. За даними DeFi Pulse, наразі Yearn має довірені активи на 500 мільйонів доларів. Навіть у версії 1 багато з його пулів отримують річну прибутковість понад 20%.

Користувачі каналів Yearn Discord і Telegram почали повідомляти про злив води в четвер вдень. О 16:38 ET на сервері Yearn Discord Джеффрі Бонгос написав: «Хтось знає, чому сховище v1Dai показує, що я втратив тисячі [d]ai за останні кілька хвилин?»

Трохи після 17:00 за східним часом передня частина сховища v1 DAI на веб-сайті Yearn показала втрату 1059%.

Токен управління Yearn YFI мав a ціна падіння на 4000 доларів у новинах. Відразу після того, як атака стала публічною, Twitter-акаунт UniWhales повідомив про великий продаж YFI для ETH:

Атаковано було сховище Yearn v1 DAI , яке оновлено до нової інвестиційної стратегії минулого місяця, згідно з публікація в блозі опубліковано командою Yearn 23 січня.

Стратегія сховища під час атаки полягала в тому, щоб внести всі кошти в «3pool» на кривій автоматизованого Maker (AMM). Пул 3 Curve містить DAI, USDT і USDC, що дозволяє користувачам обмінювати будь-які стейблкойни на інші з дуже низьким ковзанням.

«Коротше кажучи, хтось вніс купу в Curve 3pool, щоб маніпулювати ціною DAI , наданою пулом», — сказав генеральний директор Curve Майкл Єгоров CoinDesk. «Vault якимось чином покладався на ціну DAI , надану цим пулом. Потім контракт було скасовано після атаки. І багато разів повторювалося взяття миттєвих запозичених коштів».

Єгоров додав:

«Це добре відома проблема (ONE також може виникнути з Uniswap, однак Uniswap не настільки популярна для продуктивного землеробства). Я висловив свої думки команді Yearn, як цьому можна було б запобігти (і подібним уразливостям також). Але, чесно кажучи, я T очікував, що вони мають таку помилку в коді, це було для мене несподіванкою».

ОНОВЛЕННЯ (5 лютого, 2:41 UTC): Додає коментарі від генерального директора Curve Майкла Єгорова.