Хранилище Yearn Финансы DAI «подверглось атаке»: украдено 11 миллионов долларов

ОБНОВЛЕНИЕ (5 февраля, 15:41 UTC):Год опубликовалподробное вскрытие об эксплойте в пятницу утром. Кроме того, Tether объявил о заморозке $1,7 млн ​​в USDT , задействованных в атаке, согласно Технический директор Tether Паоло Ардоино.

Yearn Финансы подверглась атаке в ONE из своих DAI кредитные пулы, согласно официальному протоколу децентрализованного Финансы (DeFi) Твиттер-аккаунт.

В 5:14 вечера по восточному времени banteg из команды Yearn опубликовалв Discord: «Нападающий ушёл с дистанции 2,8 м, DAI прыжок оказался неудачным — 11,1 м».

По данным агентства, для опустошения хранилища был использован мгновенный кредит Aave . Ethereum адреспредположительно, связаны с эксплойтом.

Yearn Финансы — ONE из ведущих площадок в DeFi, известная тем, что всегда позволяет вкладчикам компенсировать весь свой доход в токенах, которые они изначально внесли. Недавно платформа обновилась до нового набора хранилищ, но, как и любая платформа смарт-контрактов, предыдущие смарт-контракты сохранились. По данным DeFi Pulse, в настоящее время Yearn имеет активы на сумму 500 миллионов долларов, доверенные ей. Даже в версии 1 многие из ее пулов приносят годовую доходность, значительно превышающую 20%.

Пользователи каналов Yearn Discord и Telegram начали сообщать об утечках в четверг днем. В 16:38 по восточному времени на сервере Yearn Discord Джеффри Бонгос написал: «Кто-нибудь знает, почему хранилище v1Dai показывает, что я потерял тысячи [d]ai за последние несколько минут?»

Чуть позже 17:00 по восточному времени фронтенд хранилища v1 DAI на сайте Yearn показал потерю в размере 1059%.

Управляющий токен YFI компании Yearn имел цена падение $4000 в новостях. Сразу после того, как атака стала достоянием общественности, аккаунт UniWhales в Twitter сообщил о большой продаже YFI за ETH:

Атакованное хранилище — это хранилище Yearn v1 DAI , которое в прошлом месяце обновилось до новой инвестиционной стратегии, согласно запись в блогеопубликовано командой Yearn 23 января.

Стратегия хранилища на момент атаки заключалась в том, чтобы внести все средства в «3pool» на автоматизированном маркет- Maker (AMM) Curve. 3pool Curve содержит DAI, USDT и USDC, что позволяет пользователям обменять любую стейблкоин на другую с очень низким проскальзыванием.

«В двух словах, кто-то внес кучу денег на Curve 3pool, чтобы манипулировать ценой DAI , указанной пулом», — рассказал CoinDesk генеральный директор Curve Михаил Егоров. «Хранилище каким-то образом полагалось на цену DAI , указанную этим пулом. Затем контракт был отозван после атаки. И это повторялось много раз, забирая средства в виде мгновенных займов».

Егоров добавил:

«Это хорошо известная проблема (ONE может быть и с Uniswap, однако Uniswap не так популярен в сфере урожайного земледелия). Я высказал свои мысли команде Yearn о том, как это можно было предотвратить (и другие подобные уязвимости). Но, честно говоря, я T ожидал, что у них будет такая ошибка в коде, это было для меня сюрпризом».

ОБНОВЛЕНИЕ (5 февраля, 2:41 UTC):Добавляет комментарии генерального директора Curve Михаила Егорова.