7 февраля 2021 ForkLog
5 февраля команда DeFi-проекта yEarn.Finance обнаружила и исправила уязвимость в пуле v1 yDAI. Неизвестному злоумышленнику удалось вывести часть средств.
Ведущий разработчик yEarn.Finance под ником banteg сообщил, что организатор атаки заполучил примерно $2,8 млн, а пул потерял $11 млн.
По словам разработчика, депозиты в DAI, TUSD, USDC и USDT отключены на время расследования.
Первыми на проблему обратили внимание участники сабреддита r/yearn_finance. Позже аналитик The Block Игорь Игамбердиев объяснил, что злоумышленник воспользовался мгновенными займами (flash loans).
По словам Игамбердиева, злоумышленник обращался к DeFi-платформам dYdX и Aave — там он занял 116 000 ETH и 99 000 ETH соответственно. Также он использовал Ethereum в качестве залогового обеспечения, чтобы занять 134 млн USDC и 129 млн DAI через Compound.
Дальнейшие шаги аналитик описал так: атакующий добавил 134 млн USDC и 36 млн DAI в пул 3crv Curve, вывел 165 млн USDT из пула 3crv Curve. Следующие действия он повторил пять раз:
внес 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
добавил 165 млн USDT в пул 3crv;
вывел 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
вывел 165 млн USDT из пула 3crv.
Далее он вывел 39 млн DAI и 134 млн USDC вместо USDT, погасил долг на Compound и мгновенные займы.
Глава Aave Стани Кулечов привел данные Etherscan, согласно которым общая комиссия за транзакции злоумышленника превысила $5000.
«Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», — написал Кулечов.
Инвестор Жюльен Тевенар отметил, что в результате операции стейкеры протокола Curve Finance заработали $3,5 млн.
На момент написания DeFi-токен YFI торгуется на отметке $32 267. Согласно CoinGecko, за последние сутки монета потеряла 4,2%.
В конце 2020 года создатель yEarn.Finance Андре Кронье представил новый DeFi-проект — yCredit. Позже разработчики обнаружили в нем критическую уязвимость, позволяющую вывести все средства пользователей.
Напомним, в октябре 2020 года злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC.
В ноябре неизвестный вывел $6 млн в DAI и USDC в результате «комплексной атаки» на хранилище MultiStables проекта Value DeFi, воспользовавшись мгновенным займом на 80 000 ETH при помощи платформы Aave.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
— yearn.finance (@iearnfinance) February 4, 2021
Ведущий разработчик yEarn.Finance под ником banteg сообщил, что организатор атаки заполучил примерно $2,8 млн, а пул потерял $11 млн.
Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m
— banteg (@bantg) February 4, 2021
— banteg (@bantg) February 4, 2021
По словам разработчика, депозиты в DAI, TUSD, USDC и USDT отключены на время расследования.
Первыми на проблему обратили внимание участники сабреддита r/yearn_finance. Позже аналитик The Block Игорь Игамбердиев объяснил, что злоумышленник воспользовался мгновенными займами (flash loans).
Ok, new DeFi exploit.
Victim:
— @iearnfinance
Attacker profit:
— 513k DAI
— 1.7M USDT
— remaining 506k 3CRV (~$1)
To obtain such a profit, the attacker executed 11 transactions.
Below is a very superficial explanation of what was happening in these transactions👇
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
Victim:
— @iearnfinance
Attacker profit:
— 513k DAI
— 1.7M USDT
— remaining 506k 3CRV (~$1)
To obtain such a profit, the attacker executed 11 transactions.
Below is a very superficial explanation of what was happening in these transactions👇
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
По словам Игамбердиева, злоумышленник обращался к DeFi-платформам dYdX и Aave — там он занял 116 000 ETH и 99 000 ETH соответственно. Также он использовал Ethereum в качестве залогового обеспечения, чтобы занять 134 млн USDC и 129 млн DAI через Compound.
1/ Flash loaned 116k ETH from dYdX
2/ Flash loaned 99k ETH from Aave v2
3/ Borrow 134M USDC and 129M DAI using ETH as collateral on Compound
4/ Add 134M USDC and 36M DAI to 3crv Curve pool
5/ Withdraw 165M USDT from 3crv Curve pool
6/ Repeat five times👇
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
2/ Flash loaned 99k ETH from Aave v2
3/ Borrow 134M USDC and 129M DAI using ETH as collateral on Compound
4/ Add 134M USDC and 36M DAI to 3crv Curve pool
5/ Withdraw 165M USDT from 3crv Curve pool
6/ Repeat five times👇
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
Дальнейшие шаги аналитик описал так: атакующий добавил 134 млн USDC и 36 млн DAI в пул 3crv Curve, вывел 165 млн USDT из пула 3crv Curve. Следующие действия он повторил пять раз:
внес 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
добавил 165 млн USDT в пул 3crv;
вывел 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
вывел 165 млн USDT из пула 3crv.
Далее он вывел 39 млн DAI и 134 млн USDC вместо USDT, погасил долг на Compound и мгновенные займы.
— Deposit 93M DAI to yDAI vault (less w/ each time)
— Add 165M USDT to 3crv pool
— Withdraw 92M DAI from yDAI vault (less w/ each time)
— Withdraw 165M USDT from 3crv pool
7/ In the last time withdraw 39M DAI and 134M USDC instead USDT
8/ Repay Compound debts
9/ Repay flash loans
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
— Add 165M USDT to 3crv pool
— Withdraw 92M DAI from yDAI vault (less w/ each time)
— Withdraw 165M USDT from 3crv pool
7/ In the last time withdraw 39M DAI and 134M USDC instead USDT
8/ Repay Compound debts
9/ Repay flash loans
— Igor Igamberdiev (@FrankResearcher) February 4, 2021
Глава Aave Стани Кулечов привел данные Etherscan, согласно которым общая комиссия за транзакции злоумышленника превысила $5000.
Complex exploit with over 160 nested transactions transactions and 8,6 mm gas used (around 75% of the block) resulted to 2.7 mm USD loss 🤯 https://t.co/WdqMGTuBQF https://t.co/MoaZIfGKGa
— stani.eth 👻 v2 is live 👻 (@StaniKulechov) February 4, 2021
— stani.eth 👻 v2 is live 👻 (@StaniKulechov) February 4, 2021
«Сложный эксплойт с более чем 160 вложенными транзакциями и 8,6 млн единиц использованного газа (около 75% блока)», — написал Кулечов.
Инвестор Жюльен Тевенар отметил, что в результате операции стейкеры протокола Curve Finance заработали $3,5 млн.
In this exploit, the arber got away with $2.8M and @CurveFinance stakers received over $3M … https://t.co/TV7u2VM4BU pic.twitter.com/NgyIyjpbwC
— Julien Thevenard (@JulienThevenard) February 4, 2021
— Julien Thevenard (@JulienThevenard) February 4, 2021
На момент написания DeFi-токен YFI торгуется на отметке $32 267. Согласно CoinGecko, за последние сутки монета потеряла 4,2%.
В конце 2020 года создатель yEarn.Finance Андре Кронье представил новый DeFi-проект — yCredit. Позже разработчики обнаружили в нем критическую уязвимость, позволяющую вывести все средства пользователей.
Напомним, в октябре 2020 года злоумышленник использовал $24 млн в стейблкоинах из пулов DeFi-протокола Harvest Finance, чтобы вывести с платформы $19,8 млн в renBTC.
В ноябре неизвестный вывел $6 млн в DAI и USDC в результате «комплексной атаки» на хранилище MultiStables проекта Value DeFi, воспользовавшись мгновенным займом на 80 000 ETH при помощи платформы Aave.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба