في يوم الخميس (4 فبراير 2021) ، ورد أن كيانًا غير معروف سرق 2.8 مليون دولار من قبو رقمي مشترك أو عبر الإنترنت عبر منصة الاستثمار التمويل. استغل المتسلل (المتسللون) الخزنة باستخدام Aave ، وهي منصة تمويل لامركزية (DeFi) تتيح للمستثمرين تقديم قروض سريعة. تعمل حلول DeFi بشكل أساسي من خلال توفير الاقتراض السريع وسداد الأموال دون الحاجة إلى تقديم ضمانات.

أصدر الفريق في Yearn.Finance تقريرًا مفصلاً بعد الوفاة بخصوص الاستغلال الأخير. قامت Tether Ltd ، أكبر مُصدر للعملات المستقرة في العالم ، بتجميد 1.7 مليون دولار من دولارات الولايات المتحدة التي يُزعم أنها متورطة في هذا الانتهاك الأمني, حبل CTO باولو أردوينو تم تأكيد.

أكد فريق Yearn.Finance لأول مرة أنهم عانوا من استغلال في إحدى مجموعات إقراض العملات المستقرة DAI. ثم الساعة 5:14 مساءً ET ، banteg من فريق Yearn.Finance ، نشر في قناة Discord الخاصة بهم أن المهاجم “أفلت من 2.8 مليون ، وخسر dai vault 11.1 مليون.”

تم إصدار قرض سريع من Aave من أجل بدء استنزاف الخزنة ، وفقًا لعنوان Ethereum الذي قد يكون مرتبطًا بالهجوم. والجدير بالذكر أن Yearn.Finance هي واحدة من منصات DeFi الرائدة وقد أصبحت معروفة الآن بتمكين المودعين من استرداد جميع عائداتهم أو عائداتهم من الرموز التي قاموا بإيداعها. قامت Yearn بإجراء تحديثات على خزائنها ، ومع ذلك ، تمامًا مثل العديد من منصات العقود الذكية الأخرى ، استمرت العقود الذكية السابقة.

بيانات DeFi Pulse يوضح أن Yearn لديها ما يزيد قليلاً عن 480 مليون دولار من الأصول المحجوزة في عقودها. في الإصدار 1 من منصة DeFi ، كانت العديد من مجموعات الإقراض في Yearn تكسب باستمرار عوائد سنوية تزيد عن 20٪.

أبلغ المستخدمون النشطون على قنوات Yearn’s Discord و Telegram في البداية عن واقعة القرصنة والمصارف ذات الصلة يوم الخميس (4 فبراير 2021) بعد الظهر. حوالي الساعة 4:38 مساءً. ET في خادم Yearn Discord ، سأل Jeffrey Bongos عما إذا كان الناس يعرفون سبب إظهار v1Dai vault أنهم فقدوا قدرًا كبيرًا من Dai في بضع دقائق. وبعد الساعة 5 مساءً بقليل. ET ، الواجهة الأمامية لخزينة v1 DAI على موقع Yearn على الويب كانت تعرض خسارة تزيد عن 1،000٪.

شهد رمز YFI للحوكمة الخاص بـ Yearn انخفاض سعره إلى 4000 دولار بعد خرق الأمان ، ولكن يتم تداول الرمز المميز عند ما يزيد عن 31000 دولار في وقت كتابة هذا التقرير. يبدو أن انخفاض السعر قد جاء بعد أن أصبح الاستغلال معروفًا لعامة الناس (كان ذلك عندما أبلغ حساب UniWhales Twitter عن بيع كبير لـ YFI لـ ETH).

1 مليون دولار + YFI دولار مقايضة إلى ETH قبل بضع دقائق.&# 128064 ؛&# 128064 ؛ pic.twitter.com/RtAAN90s2n

– UniWhales DAO (uniwhalesio) 4 فبراير 2021

كان القبو الذي تم الهجوم عليه هو قبو Yearn’s v1 DAI ، والذي تم تحديثه إلى استراتيجية استثمار جديدة في يناير 2021.

كانت إستراتيجية الخزنة عندما وقع الهجوم هي إيداع جميع الأموال في “3pool” على صانع السوق الآلي منحنى الذي يحمل العديد من العملات المستقرة بما في ذلك DAI و USDT و USDC ، ويتيح لمستخدمي النظام الأساسي تبديل أي من هذه الأصول الرقمية لبعضهم البعض عند انزلاق منخفض حقًا.

مايكل إيجوروف, أوضح الرئيس التنفيذي لشركة Curve ، أن ممثلًا سيئًا قد أودع في Curve 3pool من أجل التلاعب بسعر DAI المقدم من المجمع.

اعتمد القبو بطريقة ما على سعر DAI المقدم من هذا المجمع. وأضاف إيجوروف أنه تم بعد ذلك سحب العقد بعد الاستغلال وكرر عدة مرات أخذ الأموال المقترضة بسرعة. وأوضح أن هذه مشكلة موثقة جيدًا ويمكن رؤيتها في بروتوكولات أخرى مثل Uniswap ، ولكن لا يتم استخدام تبادل الرموز ERC-20 بشكل متكرر لأغراض زراعة المحاصيل..

وأضاف إيغوروف أنه نقل آرائه بشأن هذه المشكلة إلى فريق Yearn.Finance وكيف يمكن منع هذه المشكلة إلى جانب مآثر أخرى مماثلة. ومع ذلك ، فقد أقر بأنه لم يتوقع منهم ارتكاب هذا النوع من الأخطاء عند كتابة الكود.

مثل تلخيص في تقرير التشريح:

“أدى استغلال ضد قبو Yearn’s v1 yDAI إلى فقدان 11 مليون DAI من ودائع الخزنة. من خلال العمل في حوالي 11 دقيقة ، تمكن فريق الأمان في Yearn وموقعي المحفظة متعددة التوقيع من إيقاف هذا الاستغلال أثناء استمراره ، مما وفر 24 مليون DAI من إجمالي 35 مليون إيداع DAI في الخزنة. من خلال خلق اختلالات في أسعار الصرف في Curve’s 3pool ، تمكن أحد المستغلين من جعل خزينة yDAI الخاصة بـ Yearn يودع الأموال ويسحبها من 3pool بأسعار غير مواتية عبر سلسلة من المعاملات “.

وأشار التقرير كذلك إلى:

“استفاد المستغل من الخسارة من خلال الاحتفاظ بجزء كبير من Curve 3pool أثناء الهجوم ، والانسحاب إلى مزيج من USDT و DAI و ETH. ومن المقدر أنها أدت إلى ربح 2.7 مليون DAI “.

من الجدير بالذكر أنه على الرغم من أن المهاجم سرق Yearn بقيمة 11 مليون دولار ، إلا أنه أخذ مبالغ كبيرة كرسوم لتنفيذ هذا الاستغلال. لقد كانوا قادرين “فقط” على جني 2.7 مليون دولار من الأرباح ، في حين أن رسوم مجمع السيولة ورسوم المستودع أثناء الاختراق بلغت 3.5 مليون دولار لكل منهما. كانت رسوم Aave v2 حوالي 1.4 مليون دولار.