Le coffre-fort DAI de Yearn Finance a été victime d'une faille de sécurité ; 11 millions de dollars ont été drainés.

MISE À JOUR (5 février, 15h41 UTC) :Yearn a publié unautopsie détaillée Vendredi matin, Tether a annoncé le gel de 1,7 million de dollars en USDT impliqués dans l'attaque, selon Paolo Ardoino, directeur technique de Tether.

Yearn Finance a subi un exploit dans ONEun de ses DAI pools de prêt, selon le protocole officiel de Finance décentralisée (DeFi) compte Twitter.

À 17h14 HE, banteg, de l'équipe Yearn, a publiédans Discord: "L'attaquant s'en est sorti avec 2,8 m, le saut de DAI a perdu 11,1 m."

Un prêt flash Aave a été utilisé pour déclencher le drainage du coffre-fort, selon un Adresse Ethereumprésumé être associé à l'exploit.

Yearn Finance est ONEune des plateformes leaders de la DeFi, réputée pour permettre aux déposants de récupérer l'intégralité de leur rendement dans le jeton initialement déposé. La plateforme a récemment été mise à jour avec une nouvelle gamme de coffres, mais comme toute plateforme de contrats intelligents, les contrats intelligents précédents ont persisté. Selon DeFi Pulse, Yearn dispose actuellement de 500 millions de dollars d'actifs. Même avec la version 1, nombre de ses pools génèrent des rendements annuels largement supérieurs à 20 %.

Les utilisateurs des canaux Discord et Telegram de Yearn ont commencé à signaler des pertes jeudi après-midi. À 16h38 HE, sur le serveur Discord de Yearn, Jeffrey Bongos a écrit : « Quelqu'un sait pourquoi le coffre-fort v1Dai indique que j'ai perdu des milliers de [d]ai ces dernières minutes ? »

Un peu après 17 heures HE, le front-end du coffre-fort DAI v1 sur le site Web de Yearn a affiché une perte de 1 059 %.

Le jeton de gouvernance YFI de Yearn avait un prix chute de 4 000 $ suite à la nouvelle. Juste après que l'attaque a été rendue publique, le compte Twitter d'UniWhales a signalé une vente importante de YFI pour ETH:

Le coffre-fort attaqué était le coffre-fort DAI v1 de Yearn, qui a été mis à jour vers une nouvelle stratégie d'investissement le mois dernier, selon un article de blogpublié par l'équipe Yearn le 23 janvier.

Au moment de l'attaque, la stratégie du coffre-fort consistait à déposer tous les fonds dans le « 3pool » du Maker de marché automatisé (AMM) Curve. Ce 3pool contient des DAI. USDT et USDC, permettant aux utilisateurs d'échanger n'importe lequel des stablecoins contre un autre avec un glissement très faible.

« En résumé, quelqu'un a déposé une somme importante sur Curve 3pool pour manipuler le prix du DAI donné par le pool », a déclaré Michael Egorov, PDG de Curve, à CoinDesk. « Vault s'appuyait sur le prix du DAI donné par ce pool. Le contrat a ensuite été annulé après l'attaque, et a repris à plusieurs reprises des fonds empruntés par flash. »

Egorov a ajouté :

C'est un problème bien connu (on pourrait le rencontrer avec Uniswap, cependant, Uniswap n'est pas très populaire pour le yield farming). J'ai fait part à l'équipe de Yearn de mes réflexions sur la manière dont cela aurait pu être évité (ainsi que sur des vulnérabilités similaires). Mais honnêtement, je T à une telle erreur dans le code ; j'ai été surpris.

MISE À JOUR (5 février, 2h41 UTC) :Ajoute les commentaires du PDG de Curve, Michael Egorov.