El dijous (4 de febrer de 2021), una entitat desconeguda hauria robat 2,8 milions de dòlars en un magatzem digital o en línia compartit a través de la plataforma d’inversió Anhelar finançament. Els pirates informàtics van explotar el magatzem mitjançant Aave, una plataforma de finançament descentralitzada (DeFi) que permet als inversors fer préstecs instantanis. Aquestes solucions DeFi funcionen principalment proporcionant un préstec i amortització ràpida de diners sense necessitat de col·locar garanties.

L’equip de Yearn.Finance ha publicat un detallat informe post mortem sobre la recent explotació. Tether Ltd, l’emissor de monedes estables més gran del món, també ha congelat 1,7 milions de dòlars en USDT que presumptament va estar implicat en aquesta bretxa de seguretat, Tether CTO Paolo Ardoino confirmat.

L’equip de Yearn.Finance va confirmar per primera vegada que havia patit un exploit en un dels seus fons de préstecs DAI estables. Després a les 17:14 h. ET, banteg de l’equip Yearn.Finance, havia publicat al seu canal Discord que l’atacant “va sortir amb 2,8 m, i el vault va perdre 11,1 m”.

Segons una adreça d’Ethereum que podria estar relacionada amb l’atac, s’havia concedit un préstec flash Aave per provocar l’esgotament de la volta. Cal destacar que Yearn.Finance és una de les principals plataformes DeFi i ara s’ha conegut per permetre als dipositants recuperar tot el seu rendiment o rendiments dels tokens que han dipositat. Yearn havia realitzat actualitzacions de les seves cases, però, igual que moltes altres plataformes de contractes intel·ligents, els contractes intel·ligents anteriors han persistit.

Dades de DeFi Pulse mostra que Yearn té actius tancats als seus contractes per valor de poc més de 480 milions de dòlars. A la versió 1 de la plataforma DeFi, molts dels fons de préstecs de Yearn han obtingut rendiments anuals superiors al 20%.

Els usuaris actius als canals Yearn’s Discord i Telegram havien informat inicialment de l’incident de pirateria i dels drenatges relacionats el dijous (4 de febrer de 2021) a la tarda. Cap a les 16.38 h. ET al servidor Yearn Discord, Jeffrey Bongos havia preguntat si la gent sabia per què la volta v1Dai havia demostrat que havia perdut una gran quantitat de Dai en pocs minuts. I poc després de les 5 de la tarda. ET, la part frontal de la volta DAI v1 al lloc web de Yearn mostrava una pèrdua superior al 1.000%.

El testimoni de governança YFI de Yearn va veure caure el seu preu fins als 4.000 dòlars després de l’incompliment de la seguretat, però el símbol es cotitzava per sobre dels 31.000 dòlars en el moment de la redacció. La caiguda del preu semblava haver-se produït després que l’explotació fos coneguda pel gran públic (que va ser quan el compte de Twitter d’UniWhales havia informat d’una important venda de YFI per ETH).

1 milió + $ YFI canvia a ETH fa uns minuts.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4 de febrer de 2021

Segons els informes, el magatzem atacat era el magatzem DAI de Yearn v1, que s’havia actualitzat a una nova estratègia d’inversió el gener de 2021.

L’estratègia de la volta quan es va produir l’atac era dipositar tots els fons al “3pool” al fabricant de mercats automatitzat Corba que conté diverses monedes stables, incloses DAI, USDT i USDC, i permet als usuaris de la plataforma intercanviar qualsevol d’aquests actius digitals entre si amb un lliscament realment baix.

Michael Egorov, El CEO de Curve, havia explicat que un mal actor havia dipositat a Curve 3pool per tal de manipular el preu DAI proporcionat per la piscina.

La volta havia depès d’alguna manera del preu DAI proporcionat per aquesta piscina. Després, el contracte s’havia retirat després de l’explotació i es va repetir diverses vegades prenent fons prestats ràpidament, va afegir Egorov. Va explicar que es tracta d’un problema ben documentat que potencialment es podria veure en altres protocols com Uniswap, però que l’intercanvi de tokens ERC-20 líder no s’utilitza amb tanta freqüència amb finalitats agrícoles de rendiment..

Egorov va afegir que ha transmès a l’equip de Yearn.Finance les seves opinions sobre aquest tema i com es pot prevenir aquest problema juntament amb altres gestes similars. Tot i això, va reconèixer que no esperava que cometessin aquest tipus d’errors a l’hora d’escriure el codi.

Com resumit a l’informe post mortem:

“Una explotació contra la volta de Yearn v1 yDAI ha provocat la pèrdua d’11 milions de DAI de dipòsits de volta. Actuant en aproximadament 11 minuts, l’equip de seguretat d’Anyn i els signants de carteres multi-sig van poder aturar l’explotació mentre estava en marxa, estalviant 24 milions de DAI dels dipòsits de DAI de la volta de 35 milions. En crear desequilibris de tipus de canvi al 3pool de Curve, un explotador va poder provocar que el magatzem yDAI de Yearn diposités i retirés fons de 3pool a tipus desfavorables en una sèrie de transaccions “.

L’informe també va assenyalar:

“L’explotador es va beneficiar de la pèrdua mantenint una bona part del grup Curve 3 durant l’atac i retirant-se a una combinació de USDT, DAI i ETH. S’estima que va resultar en un benefici DAI de 2,7 milions “.

Val a dir que, tot i que l’atacant va robar Yearn valorat en 11 milions de dòlars, van necessitar grans quantitats en honoraris per dur a terme l’explotació. “Només” van poder obtenir beneficis de 2,7 milions de dòlars, mentre que les comissions de la liquiditat i les comissions de participació durant el pirateig van arribar a 3,5 milions de dòlars cadascuna. Les tarifes Aave v2 rondaven els 1,4 milions de dòlars.