Поділитися цією статтею
Yearn Фінанси DAI Vault «зазнало експлойту»; Витрачено 11 мільйонів доларів
«Зловмисник втік із 2,8 м, DAI Vault втратив 11,1 м», — опублікував у Discord розробник Yearn Фінанси .
Автор Brady Dale, William Foxley
ОНОВЛЕННЯ (5 лютого, 15:41 UTC): Yearn опублікував a докладний посмертний про експлойт у п'ятницю вранці. Крім того, Tether оголосив про заморожування 1,7 мільйона доларів USDT , залучених до атаки Tether директор Паоло Ардойно.
Yearn Фінанси зазнала експлойту в ONE зі своїх DAI пули кредитування, згідно з офіційним протоколом децентралізованого Фінанси (DeFi). обліковий запис Twitter.
О 17:14 год. ET, banteg, від команди Yearn, розміщено в Discord: "Зловмисник втік з 2,8 м, DAI вольт втратив 11,1 м."
Згідно з an Адреса Ethereum імовірно пов’язаний із експлойтом.
Yearn Фінанси є ONE із провідних майданчиків DeFi, відомим тим, що завжди дозволяє вкладникам відшкодувати весь свій дохід у вигляді токена, який вони спочатку внесли. Платформу нещодавно оновлено до нового набору сховищ, але, як і будь-яка платформа смарт-контрактів, попередні смарт-контракти збереглися. За даними DeFi Pulse, наразі Yearn має довірені активи на 500 мільйонів доларів. Навіть у версії 1 багато з його пулів отримують річну прибутковість понад 20%.
Користувачі каналів Yearn Discord і Telegram почали повідомляти про злив води в четвер вдень. О 16:38 ET на сервері Yearn Discord Джеффрі Бонгос написав: «Хтось знає, чому сховище v1Dai показує, що я втратив тисячі [d]ai за останні кілька хвилин?»
Трохи після 17:00 за східним часом передня частина сховища v1 DAI на веб-сайті Yearn показала втрату 1059%.
Токен управління Yearn YFI мав a ціна падіння на 4000 доларів у новинах. Відразу після того, як атака стала публічною, Twitter-акаунт UniWhales повідомив про великий продаж YFI для ETH:
1 million + $YFI swaps to ETH a few minutes ago.👀👀 pic.twitter.com/RtAAN90s2n
— UniWhales DAO (@uniwhalesio) February 4, 2021
Атаковано було сховище Yearn v1 DAI , яке оновлено до нової інвестиційної стратегії минулого місяця, згідно з публікація в блозі опубліковано командою Yearn 23 січня.
Стратегія сховища під час атаки полягала в тому, щоб внести всі кошти в «3pool» на кривій автоматизованого Maker (AMM). Пул 3 Curve містить DAI, USDT і USDC, що дозволяє користувачам обмінювати будь-які стейблкойни на інші з дуже низьким ковзанням.
«Коротше кажучи, хтось вніс купу в Curve 3pool, щоб маніпулювати ціною DAI , наданою пулом», — сказав генеральний директор Curve Майкл Єгоров CoinDesk. «Vault якимось чином покладався на ціну DAI , надану цим пулом. Потім контракт було скасовано після атаки. І багато разів повторювалося взяття миттєвих запозичених коштів».
Єгоров додав:
«Це добре відома проблема (ONE також може виникнути з Uniswap, однак Uniswap не настільки популярна для продуктивного землеробства). Я висловив свої думки команді Yearn, як цьому можна було б запобігти (і подібним уразливостям також). Але, чесно кажучи, я T очікував, що вони мають таку помилку в коді, це було для мене несподіванкою».
ОНОВЛЕННЯ (5 лютого, 2:41 UTC): Додає коментарі від генерального директора Curve Майкла Єгорова.
Більше для вас
Розгортання оновлення fixCleanup3_1_3 на XRP Ledger відбудеться в середу, щоб очистити прострочені NFT.
Що варто знати:
- Розподілений реєстр XRP (XRP Ledger) у середу розпочинає впровадження оновлення fixCleanup3_1_3, яке вимагає від валідаторів та операторів вузлів оновити програмне забезпечення або ризикувати втратити підключення до мережі.
- Поправка очищує прострочені пропозиції NFT, виправляє помилки в налаштуваннях дозволених доменів, забезпечує дотримання лімітів trust-line при знятті з сховищ і коригує облік позик...
