Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance

yearn_finance
yearn_finance

5 февраля команда DeFi-проекта yEarn.Finance обнаружила и исправила уязвимость в пуле v1 yDAI. Неизвестному злоумышленнику удалось вывести часть средств.

Ведущий разработчик yEarn.Finance под ником banteg сообщил, что организатор атаки заполучил примерно $2,8 млн, а пул потерял $11 млн.

По словам разработчика, депозиты в DAI, TUSD, USDC и USDT отключены на время расследования.

Первыми на проблему обратили внимание участники сабреддита r/yearn_finance. Позже аналитик The Block Игорь Игамбердиев объяснил, что злоумышленник воспользовался мгновенными займами (flash loans).

По словам Игамбердиева, злоумышленник обращался к DeFi-платформам dYdX и Aave — там он занял 116 000 ETH и 99 000 ETH соответственно. Также он использовал Ethereum в качестве залогового обеспечения, чтобы занять 134 млн USDC и 129 млн DAI через Compound.

Дальнейшие шаги аналитик описал так: атакующий добавил 134 млн USDC и 36 млн DAI в пул 3crv Curve, вывел 165 млн USDT из пула 3crv Curve. Следующие действия он повторил пять раз:

  • внес 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
  • добавил 165 млн USDT в пул 3crv;
  • вывел 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
  • вывел 165 млн USDT из пула 3crv.

Далее он вывел 39 млн DAI и 134 млн USDC вместо USDT, погасил долг на Compound и мгновенные займы.

Глава Aave Стани Кулечов привел данные Etherscan, согласно которым общая комиссия за транзакции злоумышленника превысила $5000.

«Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», — написал Кулечов.

Инвестор Жюльен Тевенар отметил, что в результате операции стейкеры протокола Curve Finance заработали $3,5 млн.

На момент написания DeFi-токен YFI торгуется на отметке $32 267. Согласно CoinGecko, за последние сутки монета потеряла 4,2%.

В конце 2020 года создатель yEarn.Finance Андре Кронье представил новый DeFi-проект — yCredit. Позже разработчики обнаружили в нем критическую уязвимость, позволяющую вывести все средства пользователей.

Напомним, в октябре 2020 года злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC.

В ноябре неизвестный вывел $6 млн в DAI и USDC в результате «комплексной атаки» на хранилище MultiStables проекта Value DeFi, воспользовавшись мгновенным займом на 80 000 ETH при помощи платформы Aave.

В том же месяце DeFi-протокол SushiSwap потерял от $10 000 до $15 000 из-за уязвимости.

Подписывайтесь на новости ForkLog в Facebook!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK