Yearn Finance (YFI) padło ofiarą ataku hakerskiego
Jeden z najpopularniejszych protokołów zdecentralizowanych finansów, Yearn.Finance (YFI) uruchomiony przez Andre Cronje, padł ofiarą ataku. Hakerowi udało się wyprowadzić z protokołu z 2,8 miliona dolarów. Według wstępnych wyników dochodzeń ze strony osób trzecich, do przeprowadzenia tak wyrafinowanego ataku tajemniczy haker wykorzystał pięć oddzielnych protokołów DeFi.
Kolejny atak w oparciu o „flash loan” skutkuje utratą 2,8 miliona dolarów
Dzisiaj, 5 lutego 2021 r., Okazało się, że protokół Yearn.Finance (YFI) został zaatakowany przy użyciu exploita „flash loan”. Atakujący wyprowadzili ze skarbca DAI 11 milionów dolarów i zgarnęli 2,8 miliona dolarów w stablecoinach DAI i USDT. Zespół Yearn.Finance (YFI) natychmiast potwierdził, że doszło do ataku, i rozpoczął dochodzenie.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
Według anonimowego dewelopera @bantg na Twitterze, skutki ataku zostały skutecznie złagodzone w czasie około 10 minut. Gdyby nie tak szybka reakcja, atak mógłby przynieść znacznie więcej szkód:
„Szybka reakcja zmniejszyła szkody z 35 milionów do 11 milionów dolarów.”
Pierwsza kompleksowa analiza tego, co się stało, została zgłoszona przez zespół ds. cyberbezpieczeństwa Peckshield. Okazało się, że osoba atakująca wykorzystała instrument „forced investment”, aby wprowadzić płynność do strategii, która w tym momencie nie była opłacalna.
Wada projektowa pozwoliła zatem hakerowi na przeprowadzenie „ataku flash loan”, który obejmował dYdX, Aave Protocol (AAVE), Compound Finance (COMP), Curve Protocol (CRV) i Yearn.Finance (YFI).
Ponadto haker wymknął się spod kontroli ze strony mechanizmu bezpieczeństwa, który chroni system przed takimi exploitami. Atakujący powtórzył wykonanie sekwencji pewnych kroków włamania, aby zapobiec odwróceniu całego ataku.
Cena YFI spada o 11 procent w ciągu kilku minut
Natychmiast po ujawnieniu ataku, zespół Yearn.Finance (YFI) wyłączył depozyty dla czterech skarbców, tj. DAI, TUSD, USDC i USDT.
W chwili publikacji w portfelu napastnika nadal znajduje się ponad 2,2 miliona dolarów. W celu zaciemnienia obrazu przepływu środków, użył on miksera Tornado Cash.
Cena YFI, tokena governance protokołu Yearn.Finance (YFI), spadła natychmiast po pierwszych wiadomościach o ataku:
W mniej niż 50 minut cena YFI spadła o około 4000 USD / YFI i osiągnęła poziom 30 600 USD.