yearn-finance

Проект из сферы децентрализованных финансов (DeFi) Yearn.Finance сегодня ночью объявил, что один из его пулов подвергся эксплойту и потерял активы на $11 млн.

«Мы обнаружили, что хранилище v1 yDAI пострадало от эксплойта. Эксплойт был ликвидирован», – сообщили разработчики через свой официальный аккаунт в Twitter.

«Хранилище Yearn DAI v1 подверглось эксплойту, организатор атаки ушел с $2,8 млн, хранилище потеряло $11 млн. Депозиты в стратегии хранилищ v1 DAI, TUSD, USDC, USDT отключены, пока мы ведем расследование», – добавил позднее ведущий разработчик Yearn.Finance под ником banteg.

Yearn.Finance является агрегатором доходности и позволяет пользователям вносить активы в пулы или так называемые хранилища, откуда они затем распределяются по другим DeFi-протоколам для заработка процентных выплат.

Основатель DeFi-платформы Aave Стани Кулечов указал на транзакцию злоумышленника, которая включала в себя использование многочисленных DeFi-протоколов и стоила свыше $5 000 в комиссиях за обработку.

«Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», – написал он.

В частности, был задействован сервисного мгновенного кредитования (flash loan) протокола Aave, позволяющего получать неограниченную сумму активов без обеспечения при условии, что они будут возвращены в том же блоке. Инвестор Жюльен Тевенар также отмечает, что в результате этой операции стейкеры протокола Curve Finance заработали $3,5 млн.

Первыми внимание на проблему стали обращать пользователи в каналах Discord и Telegram. В 00:38 по Москве один из них написал:

«Кто-то знает, почему хранилище v1Dai показывает, что я потерял тысячи Dai за несколько последних минут?»

После 01:00 фронтенд хранилищ v1 на сайте Yearn.Finance начал отображать потерю 1 059%.

Подвергшееся атаке хранилище v1 DAI было обновлено для использования новых инвестиционных стратегий в прошлом месяце. В момент атаки хранилище было настроено таким образом, чтобы вносить все средства в пул 3pool на DeFi-платформе Curve. 3pool содержит DAI, USDT и USDC и позволяет осуществлять обмен стейблкоинов между собой с минимальными различиями курса. Аналитик Игорь Игамбердиев объяснил механику произошедшего:

1. Занять через flash loan 116 000 ETH на dYdX;
2. Занять через flash loan 99 000 ETH на Aave v2;
3. Используя ETH в качестве залогового обеспечения, занять 134 млн USDC и 129 млн DAI через Compound;
4. Добавить 134 млн USDC и 36 млн DAI в пул 3crv Curve;
5. Вывести 165 млн USDT из пула 3crv Curve;
6. Повторить пять раз следующие шаги:
— Внести 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
— Добавить 165 млн USDT в пул 3crv;
— Вывести 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
— Вывести 165 млн USDT из пула 3crv.
7. В последний раз вывести 39 млн DAI и 134 млн USDC вместо USDT;
8. Погасить долг на Compound;
9. Погасить flash loan.

«С каждым разом у организатора атаки становилось все больше токенов 3crv, которые он затем смог обменять на стейблкоины, – добавляет Игамбердиев. – Забавно, сколько раз он использовал flash loan».

Yearn.Finance стоит у истоков стартовавшего прошлым летом подъема DeFi-пространства. За последние сутки курс YFI опустился на 4,8% до $31 801.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА