DeFi elskede Yearn.finance (YFI) indsatte et nyt token – så blev $ 15 mio. Stjålet

Det har været endnu en skør dag for det decentrale økonomi (DeFi) økosystem. Hvis du har været på Twitter, kender du sandsynligvis et nyt Ethereum-projekt kaldet Eminence og det efterfølgende $ 15 millioner hack.

Her er en kort oversigt over, hvad der skete for dem, der endnu ikke har kendskab til det.

Lanceringen (?)

For 24 timer siden, da denne artikel blev skrevet, indsatte Andre Cronje, grundlæggeren af ​​den øverste Ethereum-protokol Yearn.finance (YFI), en række nye kontrakter vedrørende et projekt kaldet Eminence.

Der var ingen officiel meddelelse eller websted, kun tweeten set nedenfor, der ser ud til at henvise til titlen til fans af Synthetix-protokollen, spartaner (som i, dette er Sparta spartans). Cronje retweetede kontoen og antydede, at den på en eller anden måde var relateret til ham og Yearn.finance.

Folk krypterede for at finde ud af, hvad der foregik.

Hurtigt fandt folk på Twitter og på andre sociale medieplatforme, at adressen Yearn.finance Deployer på Ethereum, hvilket betyder Andre, havde implementeret en række kontrakter på blockchain.

Kontrakterne vedrørte nye tokens, herunder Eminence (EMN), GIL (GP) og en række “eTokens”, der repræsenterede forskellige mønter som YFI, AAVE, SNX og CRV DAO Token.

Mens ingen vidste, hvad tokens var til, var mange hurtige til at FOMO ind i kontrakterne, da mange troede, at dette var lanceringen af ​​noget stort til projektet Yearn.finance..

Den vigtigste Eminence-adresse, som var indgangsstedet for hele økosystemet, begyndte at samle indskud.

FOMO

De første par timer gik stille, med kun dem i den kendte, der satte hovedstaden ind i disse smarte kontrakter.

Men omkring 4-5 timer efter, at kontrakterne blev implementeret, blev der nået et bøjningspunkt, hvor topkonti på Twitter tweetede om EMN.

Samtidig blev brugerne akklimatiseret med, hvordan man bruger de komplicerede smarte kontrakter og bindingskurverne, hvorigennem tokens blev frigivet. Og så FOMOed de ind.

I løbet af en time eller to gik værdien, der var låst i EMN-kontrakten, fra $ 3 millioner til $ 12 millioner, da FOMO spredte sig over samfundet.

Andrew Kang, grundlægger af Mechanism Capital, bemærkede FOMOs absurditet:

”Folk sender millioner af dollars til en smart kontrakt for et tegn på et projekt, vi har ingen andre oplysninger ud over et logo. Der er ikke engang et live websted, så du skal købe ved at ringe til kontrakten. “

Hacket

Kort efter Kangs tweet, måske omkring to timer senere, blev det hurtigt klart, at der var noget galt: DAI stablecoin, der blev deponeret i kontrakten på 15 millioner dollars, blev pludselig sendt til en anden adresse i en mistænkelig transaktion.

Som det kan ses nedenfor, så transaktionen en række in-block-transaktioner, der tillod brugeren at prikke millioner på millioner af EMN-tokens og et undertoken, Eminence AAVE (eAAVE).

Det transaktion, sammen med to andre udført i rækkefølge tillod brugeren at dræne $ 15 mio. af DAI fra puljen til deres egen adresse.

Kilder, jeg talte med, fandt hurtigt ud af, hvad der skete: der var en fejl i bindingskurven i kontrakterne, der tillod en bruger at købe tokens op kurven, hvor kurven blev ekstremt stejl på grund af en fejl og derefter sælge den til dem, der købte foran dem.

Da brugeren brugte et “flashlån”, hvor man kan låne mønter til en enkelt blok, var han i stand til at købe den bugged kurve op mange gange, før han dumpede mønterne på brugerne og fik dermed DAI i puljen.

Efter tre minutter sad $ 15 millioner i DAI på en brugers konto.

Men i en fascinerende begivenhed blev 8 millioner dollars sendt tilbage til Andre, hvilket efterlod mange med at skrabe hovedet om, hvad der foregik.

Nedfaldet

Efter to timers forvirring, galskab og benægtelse afslørede Cronje hvad der var sket:

Dybest set anvendte han kontrakterne til at iscenesætte det nye Ethereum-baserede spil Eminence, som han hævder stadig er over tre uger væk. Kontrakterne blev ikke afsluttet, men han indsatte dem alligevel, fordi han “testede i produktion.”

Selvfølgelig fandt brugerne kontrakterne, og resten er historie. Cronje tilføjede, at han på en eller anden måde ønsker at returnere de 8 millioner dollars, han fik fra hackeren, men det er uklart, hvordan det vil ske lige nu.

Samfundet er delt over, hvad dette betyder for etos ”test in prod”, Andre og resten af ​​DeFi-rummet.

Nogle er kede af, at han ikke tester sine kontrakter på et testnet; andre mener, at det er dem, der lægger penge ind, fordi der ikke var nogen ordentlig front-end eller meddelelse.