Torsdag (4. februar 2021) stjal en ukendt enhed angiveligt 2,8 millioner dollars fra en delt digital eller online hvælving via investeringsplatformen Læng efter finans. Hacker (s) udnyttede hvælving ved hjælp af Aave, en decentral finansieringsplatform (DeFi), der lader investorer lave flash-lån. Disse DeFi-løsninger fungerer hovedsageligt ved at yde en hurtig låntagning og tilbagebetaling af penge uden behov for at stille sikkerhed.

Teamet på Yearn.Finance har udgivet en detaljeret post mortem-rapport om den seneste udnyttelse. Tether Ltd, verdens største stablecoin-udsteder, har også frosset $ 1,7 millioner i USDT, der angiveligt var involveret i dette sikkerhedsbrud, Tether CTO Paolo Ardoino bekræftet.

Yearn.Finance-holdet havde først bekræftet, at de havde lidt en udnyttelse i en af ​​deres stabile DAI-udlånsbassiner. Derefter kl. 17:14 ET, banteg fra Yearn.Finance-holdet, havde opslået i deres Discord-kanal, at angriberen “slap væk med 2,8 m, dai hvælving tabte 11,1 m.”

Et Aave-flashlån var blevet udstedt for at udløse hvælvingens dræning ifølge en Ethereum-adresse, der muligvis er forbundet med angrebet. Især Yearn.Finance er en af ​​de førende DeFi-platforme og er nu blevet kendt for at gøre det muligt for indskydere at inddrive alt deres udbytte eller afkast fra tokens, de har deponeret. Yearn havde udført opdateringer til sine hvælvinger, men ligesom mange andre smarte kontraktplatforme har de tidligere smarte kontrakter vedvaret.

DeFi Pulse-data viser, at Yearn har aktiver på godt 480 millioner dollars, der er låst i sine kontrakter. På version 1 af DeFi-platformen har mange af Yearns udlåningspuljer konsekvent tjent årlige renter på mere end 20%.

Brugere, der var aktive på Yearns Discord og Telegram-kanaler, havde oprindeligt rapporteret om hackinghændelsen og relaterede afløb torsdag (4. februar 2021) eftermiddag. Omkring 16:38 ET i Yearn Discord-serveren havde Jeffrey Bongos spurgt, om folk vidste, hvorfor v1Dai-hvælving havde vist, at de har mistet en stor mængde Dai på få minutter. Og lige efter kl. ET, frontenden af ​​v1 DAI-hvælvet på Yearns websted havde vist et tab på over 1.000%.

Yearn’s YFI governance token så sin pris faldt til $ 4.000 efter sikkerhedsbruddet, men token handler på over $ 31.000 i skrivende stund. Prisfaldet syntes at være kommet, efter at udnyttelsen blev kendt for offentligheden (hvilket var, da UniWhales Twitter-konto havde rapporteret et større salg af YFI til ETH).

1 million + $ YFI bytter til ETH for et par minutter siden.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4. februar 2021

Den angrebne hvælving var angiveligt Yearn’s v1 DAI-hvælving, som var opdateret til en ny investeringsstrategi i januar 2021.

Hvælvingens strategi, da angrebet fandt sted, var at deponere alle midler i “3pool” på den automatiserede markedsproducent Kurve som indeholder forskellige stablecoins, herunder DAI, USDT og USDC, og lader platformbrugere bytte nogen af ​​disse digitale aktiver mod hinanden ved virkelig lav glidning.

Michael Egorov, CEO hos Curve, havde forklaret, at en dårlig skuespiller havde deponeret til Curve 3pool for at manipulere DAI-prisen leveret af puljen.

Hvælvingen var på en eller anden måde afhængig af DAI-prisen, der blev leveret af denne pool. Derefter var kontrakten trukket tilbage efter udnyttelsen og gentaget adskillige gange med flash-lånte midler, tilføjede Egorov. Han forklarede, at dette er et veldokumenteret problem, som potentielt kunne ses i andre protokoller såsom Uniswap, men den førende ERC-20-tokenudveksling bruges ikke så ofte til afkastlandbrugsformål.

Egorov tilføjede, at han har formidlet sine synspunkter vedrørende dette spørgsmål til teamet på Yearn.Finance, og hvordan dette problem kan forhindres sammen med andre lignende bedrifter. Han erkendte imidlertid, at han ikke havde forventet, at de skulle begå denne type fejl, da de skrev koden.

Som opsummeret i rapporten efter slagtning:

”En udnyttelse mod Yearns v1 yDAI-hvælving har ført til, at 11 mio. DAI af hvælvningsindskud er gået tabt. Efter at have handlet på cirka 11 minutter var Yearns sikkerhedsteam og multi-sig tegnebogssignere i stand til at stoppe udnyttelsen, mens den var i gang, og sparede 24m DAI ud af hvælvingens samlede 35m DAI-indskud. Ved at skabe ubalancer i valutakurser i Curves 3pool var en udbyder i stand til at få Yearns yDAI-hvælving til at deponere og trække midler fra 3pool til ugunstige kurser på tværs af en række transaktioner. “

Rapporten bemærkede yderligere:

”Udbytteren tjente på tabet ved at holde en god del af Curve 3pool under angrebet og trække sig tilbage til en kombination af USDT, DAI og ETH. Det anslås at have resulteret i et 2,7 mio. DAI-overskud. ”

Det er værd at bemærke, at selvom angriberen stjal Yearn til en værdi af 11 millioner dollars, tog det store beløb i gebyrer for dem at udføre udnyttelsen. De var “kun” i stand til at tjene 2,7 millioner dollars i overskud, mens likviditetspuljeafgifter og staker-gebyrer under hacket kom på 3,5 millioner dollars hver. Aave v2-gebyrer var omkring $ 1,4 millioner.