Новости Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance

Тема в разделе "Новости криптовалют", создана пользователем CoinProject.info, 5 Февраль 2021.

Реклама
  1. CoinProject.info

    CoinProject.info Топ Мастер ПРЕМИУМ

    Сообщения:
    33,682
    Симпатии:
    41
    Пол:
    Мужской
    Сайт:
    5 февраля команда DeFi-проекта yEarn.Finance обнаружила и исправила уязвимость в пуле v1 yDAI. Неизвестному злоумышленнику удалось вывести часть средств.



    We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.

    — yearn.finance (@iearnfinance) February 4, 2021

    Ведущий разработчик yEarn.Finance под ником banteg сообщил, что организатор атаки заполучил примерно $2,8 млн, а пул потерял $11 млн.


    Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m

    — banteg (@bantg) February 4, 2021

    По словам разработчика, депозиты в DAI, TUSD, USDC и USDT отключены на время расследования.

    Первыми на проблему обратили внимание участники сабреддита r/yearn_finance. Позже аналитик The Block Игорь Игамбердиев объяснил, что злоумышленник воспользовался мгновенными займами (flash loans).


    Ok, new DeFi exploit.

    Victim:
    @iearnfinance

    Attacker profit:
    — 513k DAI
    — 1.7M USDT
    — remaining 506k 3CRV (~$1)

    To obtain such a profit, the attacker executed 11 transactions.
    Below is a very superficial explanation of what was happening in these transactionsХакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance

    — Igor Igamberdiev (@FrankResearcher) February 4, 2021

    По словам Игамбердиева, злоумышленник обращался к DeFi-платформам dYdX и Aave — там он занял 116 000 ETH и 99 000 ETH соответственно. Также он использовал Ethereum в качестве залогового обеспечения, чтобы занять 134 млн USDC и 129 млн DAI через Compound.


    1/ Flash loaned 116k ETH from dYdX
    2/ Flash loaned 99k ETH from Aave v2
    3/ Borrow 134M USDC and 129M DAI using ETH as collateral on Compound
    4/ Add 134M USDC and 36M DAI to 3crv Curve pool
    5/ Withdraw 165M USDT from 3crv Curve pool
    6/ Repeat five timesХакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance

    — Igor Igamberdiev (@FrankResearcher) February 4, 2021

    Дальнейшие шаги аналитик описал так: атакующий добавил 134 млн USDC и 36 млн DAI в пул 3crv Curve, вывел 165 млн USDT из пула 3crv Curve. Следующие действия он повторил пять раз:

    • внес 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
    • добавил 165 млн USDT в пул 3crv;
    • вывел 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
    • вывел 165 млн USDT из пула 3crv.

    Далее он вывел 39 млн DAI и 134 млн USDC вместо USDT, погасил долг на Compound и мгновенные займы.


    — Deposit 93M DAI to yDAI vault (less w/ each time)
    — Add 165M USDT to 3crv pool
    — Withdraw 92M DAI from yDAI vault (less w/ each time)
    — Withdraw 165M USDT from 3crv pool
    7/ In the last time withdraw 39M DAI and 134M USDC instead USDT
    8/ Repay Compound debts
    9/ Repay flash loans

    — Igor Igamberdiev (@FrankResearcher) February 4, 2021

    Глава Aave Стани Кулечов привел данные Etherscan, согласно которым общая комиссия за транзакции злоумышленника превысила $5000.


    Complex exploit with over 160 nested transactions transactions and 8,6 mm gas used (around 75% of the block) resulted to 2.7 mm USD loss Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance https://t.co/WdqMGTuBQF https://t.co/MoaZIfGKGa

    — stani.eth Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance v2 is live Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance (@StaniKulechov) February 4, 2021


    «Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», — написал Кулечов.

    Инвестор Жюльен Тевенар отметил, что в результате операции стейкеры протокола Curve Finance заработали $3,5 млн.


    In this exploit, the arber got away with $2.8M and @CurveFinance stakers received over $3M … https://t.co/TV7u2VM4BU pic.twitter.com/NgyIyjpbwC

    — Julien Thevenard (@JulienThevenard) February 4, 2021

    На момент написания DeFi-токен YFI торгуется на отметке $32 267. Согласно CoinGecko, за последние сутки монета потеряла 4,2%.

    В конце 2020 года создатель yEarn.Finance Андре Кронье представил новый DeFi-проект — yCredit. Позже разработчики обнаружили в нем критическую уязвимость, позволяющую вывести все средства пользователей.

    Напомним, в октябре 2020 года злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC.

    В ноябре неизвестный вывел $6 млн в DAI и USDC в результате «комплексной атаки» на хранилище MultiStables проекта Value DeFi, воспользовавшись мгновенным займом на 80 000 ETH при помощи платформы Aave.

    В том же месяце DeFi-протокол SushiSwap потерял от $10 000 до $15 000 из-за уязвимости.

    Новость Хакер вывел $2,8 млн из пула DeFi-проекта yEarn.Finance на сайте CoinProject.info.
     

    Понравился пост? Поделись с друзьями!

Реклама