В новом DeFi-протоколе создателя yEarn.Finance обнаружили критическую уязвимость

Эксплойт, обнаруженный в смарт-контракте запущенного накануне DeFi-проекта yCredit, позволяет вывести все средства пользователей, заявил блокчейн-разработчик Нур Хариди.

IMPORTANT

The yCredit contract is vulnerable to an economic attack that can cause loss of all user funds.

If you deposited into the contract using Etherscan or bought yCredit on Sushiswap, withdraw or sell it immediately.

I’ll publish the exploit after all funds are withdrawn.

— nour (@NourHaridy) January 1, 2021

Создатель yEarn.Finance Андре Кронье представил новый проект 31 декабря. Платформа yCredit позволяет депонировать токены стандарта ERC-20 и получать кредитные средства в монетах yCredit на 99,5% от внесенной суммы.

Хариди назвал проект «суперамбициозным» и «раздвигающим границы эффективности использования капитала». Однако он призвал пользователей вывести все средства, поскольку вопрос времени, когда кто-то воспользуется обнаруженной им уязвимостью.

Разработчик Иван Мартинес, с которым Хариди поделился открытием, подтвердил, что эксплойт работает. По словам Мартинеса, кто-то уже использовал другой вектор атаки на yCredit.

Someone used a different attack vector on yCredit than what @NourHaridy discovered. https://t.co/cer3GtUzHp

Makes you think, would an audit capture these? What if Andre puts just enough of his own funds to make exploiting attractive? Maybe its even cheaper/faster vs. an audit 🤔

— Ivan Martinez (@0xKiwi_) January 2, 2021

Представляя новый проект, Кронье отметил, что протокол yCredit находится в экспериментальной стадии и пользователи будут участвовать в нем на свой страх и риск.

Напомним, в сентябре неизвестный вывел активы пользователей на сумму около $15 млн из развернутого для тестирования DeFi-проекта Андре Кронье Eminence.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.