DeFi Degens, сильно пострадавшие от эксплойта Eminence, получат частичную компенсацию

Все началось с пары ретвитов.

28 сентября Эндрю Кронье, глава Yearn Финансы, ретвитнул графический дизайн для нового проекта под названием Eminence, так описано Кронье как протокол децентрализованного Финансы (DeFi) для «игровой мультивселенной». Игра предположительноспин-офф коллекционной карточной игры Kickstarter 2016 года под названием Eminence: Xander’s Tales, которая может включать в себя невзаимозаменяемые токены (NFT).

По словам Кронье, ретвиты включали графические изображения слов «Спартанец» и «Морпех» (игривые отсылки к соответствующим прозвищам, данным фан-базам Synthetix и Chainlink ) и представляли собой «арт-тизер», призванный «продемонстрировать все различные кланы в игре».

Кронье нажал «Отправить» на твите и пошел спать. Когда он проснулся, то обнаружил, что твит, по-видимому, был достаточным сигналом для пользователей DeFi, чтобы вложить $15 миллионов DAI в старый протокол, который, находясь в основной сети Ethereum, все еще проходил альфа-тестирование Кронье и его командой. У Eminence даже T было веб-сайта, который можно было бы использовать в качестве интерфейса для торговли; первые пользователи вместо этого обменивались токенами напрямую со смарт-контрактами Eminence.

В ту же ночь ONE пользователь использовал код Eminence и слил $15 миллионов. Затем тот же злоумышленник вернул около $8 миллионов DAIк смарт-контракту Yearn, контролируемому Cronje.

Теперь, менее чем через 72 часа после инцидента, пострадавшим пользователям была возмещена часть убытков.

Этот крах и последующее спасение — не первый случай в DeFi. И возникает вопрос: Словарь ли сообщество DeFi на своих ошибках?

Объяснение «взлома» Eminence

Сама уязвимость, которая даже не была взломом, была достаточно простой.

Токены EMN,сгенерировано Yearn Deploy смарт-контракты, изначально были распределены через кривую связывания, новую схему распределения токенов, используемую несколькими продуктами DeFi. Эти кривые связывания представляют собой смарт-контракты, которые «торгуют» токенами с конечными пользователями, выдавая ONE в обмен на другой.

Для Eminence пользователи будут вносить DAI в смарт-контракт и получать EMN взамен. Если EMN отправляется в смарт-контракт, он сжигается, а пользователь получает DAI взамен.

Вы также можете обменять EMN на пять других токенов (eAAVE, eLINK, eYFI, eSNX и eCRV, все версии популярных токенов в обертке Eminence с теми же тикерами). Это приведет к сгоранию депонированных EMN. И наоборот, если вы внесете эти токены в соответствующие контракты кривой облигаций, они сгорят, и вы получите новые отчеканенные EMN.

Чтобы использовать эти контракты, злоумышленник взял мгновенный кредит на 15 миллионов DAI от Uniswap и использовал его для покупки EMN. Затем он обменял и сжег половину этого EMN на eAAVE, подняв цену EMN. Отсюда он обменял оставшуюся часть своего EMN на DAI, обменял свой eAAVE, чтобы выпустить больше EMN, а затем, наконец, обменял этот EMN на DAI.

К тому времени, как злоумышленник совершил эти действия, кто-то уже развернул EMNторговые пары на Uniswap.

Этот процесс был повторный три раз чтобы получить хакеру 15 015 533 DAI. Аналогичная атака с использованием мгновенного кредитаВ феврале был реализован протокол bZx.

Реакция Yearn Finance и перераспределение токенов

Удивительно, но после всех этих усилий злоумышленник немного изменил свое решение: он перевел 8 миллионов долларов в DAI на контракт Yearn Финансы , который Кронье тут же отправил на Yearn с мультиподписью.

Несколько разработчиков, ONE из которых работает над Yearn, придумал способ распространения DAI пользователям, пострадавшим от падения цены EMN ниже плинтуса в результате эксплойта. Репарации, деноминированные в DAI, теперь распределяются среди пользователей, которые торгуют EMN из контракта bonding curve и Uniswap.

«Получение [токенов DAI ] было похоже на то, будто нам подарили тикающую бомбу», — рассказал CoinDesk Бантег, разработчик CORE Yearn. Он добавил, что команда работала быстро, чтобы распределить средства, пока пострадавшие пользователи не стали беспокойными.

Бантег считает, что большинство пострадавших пользователей были «в курсе», поскольку половина возмещения была востребована в течение 19 минут после запуска контракта на распространение. Согласно данным, которыми Бантег поделился с CoinDesk , только $338 000 DAI еще не востребованы.

Если не обращать внимания на плохое поведение злоумышленника, то фиаско усугублялось двумя движущими силами: доверием и жадностью.

В своих твитах Кронье никогда не говорил, что протокол Eminence готов. Он даже T упоминал, для чего этот протокол. Но одного ретвита от человека, стоящего за Yearn — единорогом DeFi, который вырос в цене с $31 до более чем $43 000 в этом году — было достаточно, чтобы трейдеры вложились в токен Eminence.

Желая еще одного прорыва, бесстрашные пользователи Eminence начали взаимодействовать с протоколом еще до того, как Кронье дал какой-либо сигнал о том, что он готов для инвесторов. Он даже написал в Twitter предостережения перед этим инцидентом, что любой, кто использует его протоколы, должен действовать осторожно.

С тех пор Кронье заявил в Twitter о своих намерениях продолжить работу над Eminence, добавив, что ему предстоит протестировать около 100 контрактов. Он также предупредил приверженцев DeFi «ждать официальных объявлений», прежде чем использовать их.

Тем не менее, некоторые из пострадавших трейдеров, оправившиеся от своих потерь, T были готовы отпустить Кронье.

«Зачем выкладывать незаконченный код в основную сеть для тестирования?» — ONE пользователь вмешался«Контракт должен был быть в тестовой сети».

Другие, как Том Шонесси из Delphi Digital,защищалКронье, утверждая, что «это не [его] вина, что люди опускаются до [его] работы до того, как она завершена».

Уроки DeFi, которые дались тяжело или которые трудно усвоить?

Действительно, так называемые DeFi-дегенератыимеют репутацию «подражателей» смарт-контрактам в поисках выгоды до того, как они будут тщательно проверены. Трейдерывложил несколько сотен миллионов Например, в августе в протокол урожайного фермерства Yam Финансы было вложено токенов дней до ошибкив его неаудированном коде обрушил цену токена на землю.

Совсем недавно трейдеры вложили так много токенов в тогда еще неаудированный контракт Sushiswap , что его объем превзошел Uniswap. Несколько дней спустя, Создатель SushiSwap избавился от своей доли разработчика SUSHIжетоны на сумму 13 миллионов долларовETH,только вернуть сумму в ETH в сокровищницу Sushiswap после приступа вины.

С этим эксплойтом Eminence и кратким возмещением теперь в книгах, у трейдеров DeFi есть еще одна причина быть осторожнее с непроверенными протоколами. Но с окупаемостью, которая несколько смягчает их потери, возможно, этот урок может быть забыт, как только появится следующая «большая новая вещь».