Популярный агрегатор «доходного фермерства» Yearn.Finance (YFI) пострадал от эксплойта, который привел к резкому падению цены YFI и многомиллионным потерям.
Один из самых популярных децентрализованных финансовых протоколов, Yearn.Finance (YFI), запущенный Андре Кронье (Andre Cronje), пострадал от эксплойта: злоумышленник сбежал с 2,8 миллиона долларов. Согласно первоначальным результатам сторонних расследований, неизвестный хакер использовал пять отдельных протоколов DeFi для выполнения такой сложной атаки.
Очередная атака «флэш-кредита» привела к потере 2,8 миллиона долларов
Сегодня, 5 февраля 2021 года, стало известно, что протокол Yearn.Finance (YFI) подвергся атаке эксплойта «флэш-кредит». Злоумышленники украли из хранилища DAI 11 миллионов долларов, а также 2,8 миллиона долларов в стейблкоинах DAI и USDT. Команда Yearn.Finance (YFI) оперативно подтвердила факт атаки и начала расследование.
«Хранилище v1 yDAI пострадало от эксплоита. Эксплойт устранен. В ближайшее время мы опубликуем полный отчет о произошедшей атаке».
По словам анонимного разработчика под ником @bantg в Твиттере, атака была успешно устранена в течение примерно 10 минут. Если бы не такая быстрая реакция, атака могла бы быть гораздо более разрушительной:
Благодаря быстрой реакции ущерб составил 11 миллионов долларов вместо 35.
Команда по кибербезопасности Peckshield опубликовала первый всесторонний анализ произошедшего. Они обнаружили, что злоумышленник использовал инструмент «принудительного инвестирования» для вливания ликвидности в стратегию, которая в тот момент не была прибыльной.
Таким образом, конструктивный недостаток позволил злоумышленнику осуществить «атаку с использованием флэш-кредита», в которой задействованы dYdX, Aave Protocol (AAVE), Compound Finance (COMP), Curve Protocol (CRV) и сам Yearn.Finance (YFI).
Кроме того, злоумышленник ускользнул от принудительного контроля проскальзывания — механизма безопасности, который защищает систему от подобных атак. Он повторил некоторые шаги взлома, чтобы предотвратить отмену всей атаки.
Цена YFI обрушилась на 11% за считанные минуты
Сразу после обнаружения атаки команда Yearn.Finance (YFI) отключила депозиты для четырех хранилищ, то есть пулов DAI, TUSD, USDC и USDT.
На момент публикации в кошельке злоумышленника все еще хранится более 2,2 миллиона долларов. Он использовал миксер Tornado Cash, чтобы скрыть некоторые транзакции с украденными средствами.
Стоимость YFI, управляющего актива протокола Yearn.Finance (YFI), резко упала сразу после первых сообщений об атаке.
Менее чем за 50 минут цена YFI потеряла около 4000 долларов и достигла уровня 30 600 долларов.
Автор: Владислав Сопов
Оригинальный материал размещен на нашем сайте U.Today Россия: https://ru.u.today/yearnfinance-yfi-podvergsya-atake-flesh-kredita-ukradeno-11-mln-dollarov
Спасибо что прочитали до конца! Ставьте лайк, поделитесь ссылкой со своими друзьями!
Подписывайтесь на U.Today Россия в Яндекс.Дзен.
Только здесь самые горячие новости про биткоин и крипто от авторитетного международного журнала. 24/7/365