La bóveda DAI de Yearn Finanzas fue atacada y se perdieron 11 millones de dólares.

ACTUALIZACIÓN (5 de febrero, 15:41 UTC):Yearn publicó unautopsia detallada sobre el exploit el viernes por la mañana. Además, Tether anunció la congelación de 1,7 millones de dólares en USDT involucrados en el ataque, según... Paolo Ardoino, director de Tether.

Yearn Finanzas ha sufrido una vulnerabilidad en una de sus... DAI fondos de préstamos, según el protocolo oficial de Finanzas descentralizadas (DeFi) Cuenta de Twitter.

A las 5:14 p.m. ET, banteg, del equipo Yearn, publicóen Discord:"El atacante se escapó con 2,8 millones, el DAI Vault perdió 11,1 millones."

Un préstamo flash de Aave se utilizó para activar el vaciado de la bóveda, según un Dirección de EthereumSe presume que está asociado con el exploit.

Yearn Finanzas es una de las plataformas líderes en DeFi, conocida por permitir siempre a los depositantes recuperar todo su rendimiento en el token depositado inicialmente. La plataforma se actualizó recientemente con un nuevo conjunto de bóvedas, pero como cualquier plataforma de contratos inteligentes, los contratos inteligentes anteriores persistieron. Según DeFi Pulse, Yearn actualmente tiene $500 millones en activos confiados. Incluso en la versión 1, muchos de sus pools generan rendimientos anuales superiores al 20%.

Los usuarios de los canales de Discord y Telegram de Yearn comenzaron a reportar pérdidas el jueves por la tarde. A las 16:38 ET, en el servidor de Discord de Yearn, Jeffrey Bongos escribió: "¿Alguien sabe por qué la bóveda de v1Dai muestra que he perdido miles de [d]ai en los últimos minutos?".

Poco después de las 5 p. m. ET, la parte frontal de la bóveda DAI v1 en el sitio web de Yearn mostró una pérdida del 1,059%.

El token de gobernanza YFI de Yearn tuvo un precio Caída de $4,000 en las noticias. Justo después de que el ataque se hiciera público, la cuenta de Twitter de UniWhales informó sobre una gran venta de YFI por ETH:

La bóveda atacada fue la bóveda DAI v1 de Yearn, que se actualizó a una nueva estrategia de inversión el mes pasado, según un entrada de blogpublicado por el equipo de Yearn el 23 de enero.

La estrategia de la bóveda en el momento del ataque era depositar todos los fondos en el "3pool" del Maker de mercado automatizado (AMM) Curve. El 3pool de Curve contiene DAI. USDT y USDC, permitiendo a los usuarios intercambiar cualquiera de las monedas estables por otra con un deslizamiento muy bajo.

En resumen, alguien depositó una gran cantidad en Curve 3pool para manipular el precio de DAI proporcionado por el pool —declaró el director ejecutivo de Curve, Michael Egorov, a CoinDesk. De alguna manera, Vault dependía del precio de DAI proporcionado por este pool. Luego, el contrato se rescindió tras el ataque. Y repitió repetidamente el robo de fondos obtenidos mediante préstamos instantáneos.

Egorov añadió:

Ese es un problema bien conocido (también ONE ocurrir con Uniswap, aunque Uniswap no es tan popular para el cultivo de rendimiento). Expresé mis ideas al equipo de Yearn sobre cómo se podría haber evitado esto (y vulnerabilidades similares). Pero, sinceramente, no esperaba que tuvieran un error de código así; me sorprendió.

ACTUALIZACIÓN (5 de febrero, 2:41 UTC):Añade comentarios del director ejecutivo de Curve, Michael Egorov.