Хранилище проекта DeFi Yearn.Finance подверглось атаке и потеряло $11 млн

Создатель Victoria Grain Проект децентрализованного финансирования (DeFi) Yearn.Finance подвергся эксплойту, в процессе которого хранилище v1 yDAI потеряло цифровые активы на сумму около $11 млн. Эксплойт уже ликвидирован.

Проект Yearn.Finance дозволяет заниматься «доходным фермерством»: юзеры вносят в пулы свои цифровые активы и получают за это проценты. Не так давно платформа обновила свои хранилища, но смарт-контракты остались без конфигураций. По данным DeFi Pulse, проекту Yearn.Finance «доверены» активы на сумму $500 млн.

О утечках средств начали докладывать юзеры каналов Yearn Discord и Telegram 4 февраля, во 2-ой половине денька. Один из юзеров написал: «Кто-либо понимает, почему у меня написано, что я растерял тыщи DAI за крайние пару минут?» Не считая того, в пользовательском интерфейсе хранилища на веб-сайте Yearn.Finance возникло извещение о потерях в размере 1 059%.

Спецы Yearn.Finance также сказали о атаке в социальной сети Twitter. Позже разраб под псевдонимом banteg написал, что устроителю атаки удалось уйти с $2.8 млн, а хранилище v1 yDAI потеряло активы на сумму около $11 млн. Депозиты в DAI, TUSD, USDC и USDT деактивированы на время проведения расследования. 

Опосля того, как сделалось понятно о атаке, юзер Twitter UniWhales DAO сказал о большой продаже YFI за ETH. Криптовалюта просела в стоимости наиболее чем на $5 000 – с $34 979 до $29 580. Потом курс YFI равномерно восстановился до $31 500.

На момент атаки все средства были расположены в 3pool на платформе Curve. В 3pool находятся DAI, USDT и USDC, что дозволяет юзерам обменивать стейблкоины на остальные активы с ограниченным проскальзыванием. 

По словам генерального директора Curve Миши Егорова, кто-то вложил «кучу средств» в 3pool, чтоб манипулировать ценой DAI. Хранилище полагалось на эту стоимость, а опосля атаки договор был расторгнут. Такие деяния повторялись пару раз, и злодею удалось забрать заемные средства. 

Егоров добавил, что эта неувязка отлично известна, и поделился своими соображениями с командой Yearn.Finance о том, каким образом можно предупредить подобные уязвимости.

Напомним, что в сентябре основоположник Yearn.Finance Андре Кронье (Andre Cronje) запустил игровой протокол Eminence, но из-за критичной уязвимости инвесторы утратили $15 млн.

Источник

Author: Zero