Yearn Finanças DAI Vault 'sofreu uma exploração'; US$ 11 milhões drenados

ATUALIZAÇÃO (5 de fevereiro, 15:41 UTC):Yearn publicou umpost-mortem detalhado sobre a exploração na manhã de sexta-feira. Além disso, a Tether anunciou o congelamento de US$ 1,7 milhão em USDT envolvidos no ataque, de acordo com Tether CTO Paolo Ardoino.

Yearn Finanças sofreu uma exploração em um de seus DAI pools de empréstimos, de acordo com o protocolo oficial de Finanças descentralizadas (DeFi) Conta do Twitter.

Às 17h14 ET, banteg, da equipe Yearn, postouem discórdia: "O atacante escapou com 2,8 m, DAI perdeu 11,1 m."

Um empréstimo flash Aave foi usado para acionar a drenagem do cofre, de acordo com um Endereço Ethereumpresumivelmente associado à exploração.

Yearn Finanças é um dos principais locais em DeFi, conhecido por sempre permitir que os depositantes recuperem todo o seu rendimento no token que depositaram inicialmente. A plataforma foi atualizada recentemente para um novo conjunto de cofres, mas como qualquer plataforma de contrato inteligente, os contratos inteligentes anteriores persistiram. De acordo com o DeFi Pulse, a Yearn atualmente tem US$ 500 milhões em ativos confiados a ela. Mesmo na versão 1, muitos de seus pools rendem rendimentos anuais de bem mais de 20%.

Usuários nos canais Yearn Discord e Telegram começaram a relatar drenos na tarde de quinta-feira. Às 4:38 p.m. ET no servidor Yearn Discord, Jeffrey Bongos escreveu: "Alguém sabe por que o cofre v1Dai está mostrando que perdi milhares de [d]ai nos últimos minutos?"

Pouco depois das 17h00 horário do leste dos EUA, o front end do cofre v1 DAI no site Yearn mostrou uma perda de 1.059%.

O token de governança YFI da Yearn teve um preço queda de $ 4.000 nas notícias. Logo após o ataque se tornar público, a conta do Twitter da UniWhales relatou uma grande venda de YFI por ETH:

O cofre atacado foi o cofre DAI v1 da Yearn, que foi atualizado para uma nova estratégia de investimento no mês passado, de acordo com um postagem de blogpublicado pela equipe Yearn em 23 de janeiro.

A estratégia do cofre no momento do ataque era depositar todos os fundos no "3pool" no Maker de mercado automatizado (AMM) Curve. O 3pool do Curve contém DAI, USDT e USDC, permitindo que os usuários troquem qualquer uma das stablecoins por outra com deslizamento muito baixo.

"Em poucas palavras, alguém depositou um monte no Curve 3pool para manipular o preço do DAI dado pelo pool", disse o CEO da Curve, Michael Egorov, ao CoinDesk. "O Vault de alguma forma estava contando com o preço do DAI dado por este pool. Então o contrato foi retirado após o ataque. E repetiu muitas vezes pegando fundos emprestados rapidamente."

Egorov acrescentou:

"Esse é um problema bem conhecido (ONE ter isso com o Uniswap também, no entanto, o Uniswap não é tão popular para yield farming). Expressei meus pensamentos à equipe do Yearn sobre como isso poderia ter sido evitado (e vulnerabilidades semelhantes também). Mas, honestamente, T esperava que eles tivessem um erro desses no código, isso foi uma surpresa para mim."

ATUALIZAÇÃO (5 de fevereiro, 2:41 UTC):Adiciona comentários do CEO da Curve, Michael Egorov.