Yearn Finanza DAI Vault "ha subito un exploit"; $ 11 milioni prosciugati

AGGIORNAMENTO (5 febbraio, 15:41 UTC):Yearn ha pubblicato unautopsia dettagliata sull'exploit venerdì mattina. Inoltre, Tether ha annunciato il congelamento di 1,7 milioni di dollari in USDT coinvolti nell'attacco, secondo Paolo Ardoino, CTO di Tether.

Yearn Finanza ha subito un exploit in ONE dei suoi DAI pool di prestito, secondo il protocollo ufficiale della Finanza decentralizzata (DeFi) Account Twitter.

Alle 17:14 ET, banteg, del team Yearn, ha pubblicatoin Discord: "L'attaccante è riuscito a rubare 2,8 milioni di dollari, il DAI vault ne ha persi 11,1 milioni."

Secondo un'indagine, per innescare lo svuotamento del caveau è stato utilizzato un prestito flash Aave . Indirizzo Ethereumpresumibilmente associato all'exploit.

Yearn Finanza è ONE dei principali luoghi di DeFi, noto per consentire sempre ai depositanti di recuperare tutto il loro rendimento nel token inizialmente depositato. La piattaforma è stata recentemente aggiornata a una nuova serie di caveau, ma come qualsiasi piattaforma di smart contract, i precedenti smart contract sono rimasti. Secondo DeFi Pulse, Yearn ha attualmente 500 milioni di $ di asset affidati a sé. Anche nella versione 1, molti dei suoi pool generano rendimenti annuali ben oltre il 20%.

Gli utenti nei canali Yearn Discord e Telegram hanno iniziato a segnalare perdite giovedì pomeriggio. Alle 4:38 p.m. ET sul server Yearn Discord, Jeffrey Bongos ha scritto: "Qualcuno sa perché il vault v1Dai mostra che ho perso migliaia di [d]ai negli ultimi minuti?"

Poco dopo le 17:00 ET, il front-end del vault DAI v1 sul sito web Yearn ha mostrato una perdita del 1.059%.

Il token di governance YFI di Yearn aveva un prezzo calo di $ 4.000 sulla notizia. Subito dopo che l'attacco è diventato pubblico, l'account Twitter di UniWhales ha segnalato una grande vendita di YFI per ETH:

Il vault attaccato era il vault DAI v1 di Yearn, che è stato aggiornato a una nuova strategia di investimento il mese scorso, secondo un post del blogpubblicato dal team Yearn il 23 gennaio.

La strategia del caveau al momento dell'attacco era di depositare tutti i fondi nel "3pool" sul market Maker automatizzato (AMM) Curve. Il 3pool di Curve contiene DAI, USDT E USDC, consentendo agli utenti di sostituire una qualsiasi stablecoin con un'altra con uno slittamento molto basso.

"In poche parole, qualcuno ha depositato un mucchio di soldi su Curve 3pool per manipolare il prezzo DAI dato dal pool", ha detto il CEO di Curve Michael Egorov a CoinDesk. "In qualche modo Vault si basava sul prezzo DAI dato da questo pool. Poi il contratto è stato ritirato dopo l'attacco. E ha ripetuto più volte prendendo fondi presi in prestito lampo".

Egorov ha aggiunto:

"Questo è un problema ben noto (ONE potrebbe avere anche con Uniswap, tuttavia, Uniswap non è così popolare per lo yield farming). Ho espresso i miei pensieri al team Yearn su come questo avrebbe potuto essere prevenuto (e anche vulnerabilità simili). Ma onestamente, T mi aspettavo che avessero un errore del genere nel codice, è stata una sorpresa per me."

AGGIORNAMENTO (5 febbraio, 2:41 UTC):Aggiunge i commenti del CEO di Curve, Michael Egorov.