Платформа DeFi Yearn. Финансовое хранилище DAI пострадало от серьезного взлома, хакерская атака привела к утечке стоимости с платформ на сумму 11 миллионов долларов

В четверг (4 февраля 2023 г.) неизвестная организация, как сообщается, украла 2,8 миллиона долларов из общего цифрового или онлайн-хранилища через инвестиционную платформу. Год.Финансы. Хакер (хакеры) использовали хранилище, используя Aave, платформу децентрализованного финансирования (DeFi), которая позволяет инвесторам выдавать мгновенные ссуды. Эти решения DeFi в основном работают, обеспечивая быстрое заимствование и возврат денег без необходимости предоставления залога..

Команда Yearn.Finance выпустила подробный отчет о вскрытии недавнего эксплойта. Tether Ltd, крупнейший в мире эмитент стейблкоинов, также заморозила 1,7 млн ​​долларов США в долларах США, которые предположительно были причастны к этому нарушению безопасности., Привязь Технический директор Паоло Ардоино подтвержденный.

Команда Yearn.Finance сначала подтвердила, что они пострадали от эксплойта в одном из их пулов ссуды DAI на стейблкоины. Затем в 17:14 ET, Бантег из команды Yearn.Finance, опубликовал на своем канале в Discord, что злоумышленник «сошёл с рук с 2,8 м, dai vault потерял 11,1 м».

Согласно адресу Ethereum, который может быть связан с атакой, был выдан флэш-кредит Aave, чтобы вызвать осушение хранилища. Примечательно, что Yearn.Finance является одной из ведущих платформ DeFi и теперь стала хорошо известна тем, что позволяет вкладчикам получать всю свою прибыль или прибыль от депонированных токенов. Yearn выполнил обновления своих хранилищ, однако, как и многие другие платформы смарт-контрактов, предыдущие смарт-контракты сохранились..

Данные DeFi Pulse показывает, что у Yearn есть активы на сумму чуть более 480 миллионов долларов, зафиксированные в ее контрактах. В версии 1 платформы DeFi многие кредитные пулы Yearn стабильно приносят годовой доход более 20%..

Пользователи, активно работающие на каналах Discord и Telegram на Yearn, первоначально сообщили о взломе и связанных с ним утечках во второй половине дня в четверг (4 февраля 2023 г.). Примерно в 16:38. На сервере Yearn Discord Джеффри Бонго спросил, знают ли люди, почему хранилище v1Dai показало, что они потеряли большое количество Dai за несколько минут. И сразу после 17:00 ET, клиентская часть хранилища DAI v1 на веб-сайте Yearn, показывала потерю более 1000%..

Токен управления YFI от Yearn упал до 4000 долларов после взлома системы безопасности, но на момент написания токен торгуется по цене выше 31000 долларов. Падение цены, похоже, произошло после того, как об эксплойте стало известно широкой публике (когда аккаунт UniWhales в Twitter сообщил о крупной продаже YFI за ETH)..

1 миллион + $ YFI переключился на ETH несколько минут назад.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4 февраля 2023 г.

Атакованное хранилище, как сообщается, было хранилищем DAI Yearn v1, которое было обновлено до новой инвестиционной стратегии в январе 2023 года..

Стратегия хранилища на момент атаки заключалась в размещении всех средств в «3pool» автоматизированного маркет-мейкера. Изгиб который содержит различные стейблкоины, включая DAI, USDT и USDC, и позволяет пользователям платформы обменивать любые из этих цифровых активов друг на друга с очень низким проскальзыванием..

Михаил Егоров, Генеральный директор Curve объяснил, что злоумышленник внес депозит в Curve 3pool, чтобы манипулировать ценой DAI, предоставляемой пулом..

Хранилище каким-то образом зависело от цены DAI, предоставляемой этим пулом. Затем договор был расторгнут после эксплойта и многократно повторен с привлечением заемных средств, добавил Егоров. Он объяснил, что это хорошо задокументированная проблема, которая потенциально может быть замечена в других протоколах, таких как Uniswap, но ведущий обмен токенов ERC-20 не так часто используется для целей выращивания урожая..

Егоров добавил, что он поделился своим мнением по этому поводу с командой Yearn.Finance и рассказал о том, как эту проблему можно предотвратить вместе с другими подобными эксплойтами. Однако он признал, что не ожидал, что они совершат такую ​​ошибку при написании кода..

В качестве резюмированный в акте вскрытия:

«Эксплойт к хранилищу YDAI v1 компании Yearn привел к потере 11 млн DAI депозитов хранилища. Действуя примерно за 11 минут, команда безопасности Yearn и лица, подписавшие несколько кошельков, смогли остановить эксплойт, пока он работал, сэкономив 24 миллиона DAI из 35 миллионов депозитов DAI в хранилище. Создав дисбаланс обменного курса в 3pool Curve, эксплуататор смог заставить хранилище yDAI Yearn вносить и снимать средства из 3pool по невыгодным ставкам через серию транзакций ».

В отчете далее отмечалось:

«Эксплуатант получил прибыль от убытка, удерживая значительную часть пула Curve 3pool во время атаки и выводя средства на комбинацию USDT, DAI и ETH. По оценкам, это принесло 2,7 млн ​​DAI прибыли ».

Стоит отметить, что даже несмотря на то, что злоумышленник украл Yearn на сумму 11 миллионов долларов, им потребовались большие суммы гонорара, чтобы провести эксплойт. Они смогли «только» получить 2,7 миллиона долларов прибыли, в то время как сборы пула ликвидности и сборы стейкера во время взлома составили 3,5 миллиона долларов каждый. Сборы за Aave v2 составили около 1,4 миллиона долларов..