DEFI-ПРОЕКТ YEARN.FINANCE ПОТЕРЯЛ $11 МЛН

DEFI-ПРОЕКТ YEARN.FINANCE ПОТЕРЯЛ $11 МЛН

Проект из сферы децентрализованных финансов (DeFi) Yearn.Finance сегодня ночью объявил, что один из его пулов подвергся эксплойту и потерял активы на $11 млн.

We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.— yearn.finance (@iearnfinance) February 4, 2021

«Мы обнаружили, что хранилище v1 yDAI пострадало от эксплойта. Эксплойт был ликвидирован», – сообщили разработчики через свой официальный аккаунт в Twitter.

«Хранилище Yearn DAI v1 подверглось эксплойту, организатор атаки ушел с $2,8 млн, хранилище потеряло $11 млн. Депозиты в стратегии хранилищ v1 DAI, TUSD, USDC, USDT отключены, пока мы ведем расследование», – добавил позднее ведущий разработчик Yearn.Finance под ником banteg.

Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m— banteg (@bantg) February 4, 2021

Yearn.Finance является агрегатором доходности и позволяет пользователям вносить активы в пулы или так называемые хранилища, откуда они затем распределяются по другим DeFi-протоколам для заработка процентных выплат.

Основатель DeFi-платформы Aave Стани Кулечов указал на транзакцию злоумышленника, которая включала в себя использование многочисленных DeFi-протоколов и стоила свыше $5 000 в комиссиях за обработку.

«Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», – написал он.

В частности, был задействован сервисного мгновенного кредитования (flash loan) протокола Aave, позволяющего получать неограниченную сумму активов без обеспечения при условии, что они будут возвращены в том же блоке. Инвестор Жюльен Тевенар также отмечает, что в результате этой операции стейкеры протокола Curve Finance заработали $3,5 млн.

Первыми внимание на проблему стали обращать пользователи в каналах Discord и Telegram. В 00:38 по Москве один из них написал:

«Кто-то знает, почему хранилище v1Dai показывает, что я потерял тысячи Dai за несколько последних минут?»

После 01:00 фронтенд хранилищ v1 на сайте Yearn.Finance начал отображать потерю 1 059%.

Подвергшееся атаке хранилище v1 DAI было обновлено для использования новых инвестиционных стратегий в прошлом месяце. В момент атаки хранилище было настроено таким образом, чтобы вносить все средства в пул 3pool на DeFi-платформе Curve. 3pool содержит DAI, USDT и USDC и позволяет осуществлять обмен стейблкоинов между собой с минимальными различиями курса. Аналитик Игорь Игамбердиев объяснил механику произошедшего:

1. Занять через flash loan 116 000 ETH на dYdX;2. Занять через flash loan 99 000 ETH на Aave v2;3. Используя ETH в качестве залогового обеспечения, занять 134 млн USDC и 129 млн DAI через Compound;4. Добавить 134 млн USDC и 36 млн DAI в пул 3crv Curve;5. Вывести 165 млн USDT из пула 3crv Curve;6. Повторить пять раз следующие шаги:— Внести 93 млн DAI в хранилище yDAI (с каждым разом все меньше);— Добавить 165 млн USDT в пул 3crv;— Вывести 92 млн DAI из хранилища yDAI (с каждым разом все меньше);— Вывести 165 млн USDT из пула 3crv.7. В последний раз вывести 39 млн DAI и 134 млн USDC вместо USDT;8. Погасить долг на Compound;9. Погасить flash loan.

«С каждым разом у организатора атаки становилось все больше токенов 3crv, которые он затем смог обменять на стейблкоины, – добавляет Игамбердиев. – Забавно, сколько раз он использовал flash loan».

Yearn.Finance стоит у истоков стартовавшего прошлым летом подъема DeFi-пространства. За последние сутки курс YFI опустился на 4,8% до $31 801.

Source

Subscribe to get our top stories