Am Donnerstag (4. Februar 2021) hat ein unbekanntes Unternehmen Berichten zufolge über die Investitionsplattform 2,8 Millionen US-Dollar aus einem gemeinsam genutzten digitalen oder Online-Tresor gestohlen Yearn.Finance. Die Hacker nutzten den Tresor mithilfe von Aave, einer dezentralen Finanzplattform (DeFi), mit der Investoren Flash-Kredite vergeben können. Diese DeFi-Lösungen bieten hauptsächlich eine schnelle Ausleihe und Rückzahlung von Geldern, ohne dass Sicherheiten gestellt werden müssen.

Das Team von Yearn.Finance hat einen detaillierten Post-Mortem-Bericht über den jüngsten Exploit veröffentlicht. Tether Ltd, der weltweit größte Emittent von stabilen Münzen, hat ebenfalls USDT in Höhe von 1,7 Mio. USD eingefroren, die angeblich an dieser Sicherheitsverletzung beteiligt waren, Leine CTO Paolo Ardoino Bestätigt.

Das Yearn.Finance-Team hatte zunächst bestätigt, dass es in einem seiner stabilen DAI-Kreditpools einen Exploit erlitten hatte. Dann um 17:14 Uhr ET, Banteg vom Yearn.Finance-Team, hatte in seinem Discord-Kanal veröffentlicht, dass der Angreifer “mit 2,8 m davongekommen ist, dai vault 11,1 m verloren hat”.

Laut einer Ethereum-Adresse, die mit dem Angriff in Verbindung gebracht werden kann, wurde ein Aave-Flash-Darlehen ausgegeben, um die Entleerung des Tresors auszulösen. Insbesondere ist Yearn.Finance eine der führenden DeFi-Plattformen und mittlerweile bekannt dafür, dass Einleger ihre gesamten Erträge oder Erträge aus von ihnen eingezahlten Token zurückerhalten können. Yearn hatte Aktualisierungen seiner Tresore durchgeführt, aber genau wie bei vielen anderen Smart-Contract-Plattformen wurden die vorherigen Smart-Verträge beibehalten.

DeFi-Pulsdaten zeigt, dass Yearn Vermögenswerte im Wert von etwas mehr als 480 Millionen US-Dollar in seinen Verträgen hat. In Version 1 der DeFi-Plattform haben viele der Kreditpools von Yearn durchweg jährliche Renditen von mehr als 20% erzielt.

Benutzer, die auf den Discord- und Telegrammkanälen von Yearn aktiv waren, hatten den Hacking-Vorfall und die damit verbundenen Abflüsse am Donnerstagnachmittag (4. Februar 2021) gemeldet. Gegen 16:38 Uhr Auf dem Yearn Discord-Server hatte Jeffrey Bongos gefragt, ob die Leute wüssten, warum der v1Dai-Tresor gezeigt hat, dass sie in wenigen Minuten eine große Menge Dai verloren haben. Und kurz nach 17 Uhr ET, das Front-End des v1-DAI-Tresors auf der Yearn-Website, wies einen Verlust von über 1.000% auf.

Bei Yearns YFI-Governance-Token sank der Preis nach der Sicherheitsverletzung auf 4.000 US-Dollar, aber der Token wird zum Zeitpunkt des Schreibens bei über 31.000 US-Dollar gehandelt. Der Preisverfall schien eingetreten zu sein, nachdem der Exploit der Öffentlichkeit bekannt wurde (als der Twitter-Account von UniWhales einen größeren Verkauf von YFI für die ETH gemeldet hatte)..

1 Million + $ YFI wechselt vor ein paar Minuten zur ETH.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4. Februar 2021

Bei dem angegriffenen Tresor handelte es sich Berichten zufolge um Yearns v1 DAI-Tresor, der im Januar 2021 auf eine neue Anlagestrategie aktualisiert worden war.

Die Strategie des Tresors bei dem Angriff bestand darin, alle Gelder in den „3pool“ des automatisierten Market Makers einzuzahlen Kurve Das Unternehmen verfügt über verschiedene Stablecoins, darunter DAI, USDT und USDC, und ermöglicht es Plattformbenutzern, diese digitalen Assets bei sehr geringem Schlupf gegeneinander auszutauschen.

Michael Egorov, Der CEO von Curve hatte erklärt, dass ein schlechter Schauspieler bei Curve 3pool hinterlegt hatte, um den vom Pool bereitgestellten DAI-Preis zu manipulieren.

Das Gewölbe war irgendwie vom DAI-Preis dieses Pools abhängig. Dann sei der Vertrag nach dem Exploit zurückgezogen und mehrfach wiederholt worden, wobei Flash-geliehene Gelder aufgenommen worden seien, fügte Egorov hinzu. Er erklärte, dass dies ein gut dokumentiertes Problem ist, das möglicherweise in anderen Protokollen wie Uniswap zu sehen ist, aber der führende ERC-20-Token-Austausch wird nicht so häufig für Ertragszuchtzwecke verwendet.

Egorov fügte hinzu, dass er dem Team von Yearn.Finance seine Ansichten zu diesem Thema mitgeteilt habe und wie dieses Problem zusammen mit anderen ähnlichen Exploits verhindert werden könne. Er gab jedoch zu, dass er nicht erwartet hatte, dass sie diese Art von Fehler beim Schreiben des Codes machen würden.

Wie zusammengefasst im Obduktionsbericht:

„Ein Exploit gegen Yearns v1 yDAI-Tresor hat dazu geführt, dass 11 Mio. DAI an Tresorablagerungen verloren gegangen sind. In ungefähr 11 Minuten konnten das Sicherheitsteam von Yearn und die Multi-Sig-Wallet-Unterzeichner den Exploit während der Fahrt stoppen und 24 Millionen DAI aus den insgesamt 35 Millionen DAI-Einzahlungen des Tresors einsparen. Durch die Schaffung von Wechselkursungleichgewichten in Curves 3pool konnte ein Exploiter Yearns yDAI-Tresor veranlassen, bei einer Reihe von Transaktionen Geld zu ungünstigen Kursen bei 3pool einzuzahlen und abzuheben. “

In dem Bericht wurde ferner Folgendes festgestellt:

„Der Exploiter profitierte von dem Verlust, indem er während des Angriffs einen guten Teil des Curve 3-Pools hielt und sich zu einer Kombination aus USDT, DAI und ETH zurückzog. Es wird geschätzt, dass dies zu einem DAI-Gewinn von 2,7 Mio. geführt hat. “

Es ist erwähnenswert, dass der Angreifer, obwohl er Yearn im Wert von 11 Millionen US-Dollar gestohlen hat, große Gebühren für die Durchführung des Exploits benötigte. Sie konnten „nur“ Gewinne in Höhe von 2,7 Mio. USD erzielen, während die Gebühren für den Liquiditätspool und die Staker-Gebühren während des Hacks jeweils 3,5 Mio. USD betrugen. Die Aave v2-Gebühren beliefen sich auf rund 1,4 Millionen US-Dollar.