В четвъртък (4 февруари 2021 г.) неизвестно лице е откраднало 2,8 милиона долара от споделен цифров или онлайн трезор чрез инвестиционната платформа Копнеете за финансиране. Хакерите са използвали трезора, използвайки Aave, децентрализирана финансова платформа (DeFi), която позволява на инвеститорите да правят бързи заеми. Тези решения на DeFi работят главно като осигуряват бързо заемане и изплащане на пари, без да е необходимо да се предоставя обезпечение.

Екипът на Yearn.Finance публикува подробен следкланичен доклад относно скорошния експлойт. Tether Ltd, най-големият емитент на стабилни валути в света, също е замразил 1,7 милиона щатски долара в USDT, за които се твърди, че са замесени в това нарушение на сигурността, Tether Технически директор Паоло Ардоино потвърдено.

Екипът на Yearn.Finance първо потвърди, че е претърпял експлойт в един от своите пулове за кредитиране на DAI на stablecoin. След това в 17:14 ч. ET, бантег от екипа на Yearn.Finance, беше публикувал в своя канал Discord, че нападателят „се измъкна с 2,8 м, дай трезора загуби 11,1 м.“

Издаден е флаш заем Aave, за да задейства източването на трезора, според адрес на Ethereum, който може да е свързан с атаката. За отбелязване е, че Yearn.Finance е една от водещите платформи на DeFi и сега е станала добре известна с това, че дава възможност на вложителите да възстановят цялата си доходност или възвръщаемост от депозираните от тях токени. Yearn е извършил актуализации на своите трезори, но също както много други платформи за интелигентни договори, предишните интелигентни договори продължават.

Данни от DeFi Pulse показва, че Yearn има активи на стойност над $ 480 милиона, заключени в договорите си. Във версия 1 на платформата DeFi, много от пуловете за кредитиране на Yearn постоянно печелят годишни доходи от над 20%.

Потребителите, активни в каналите на Yearn’s Discord и Telegram, първоначално съобщиха за хакерския инцидент и свързаните канализации в четвъртък (4 февруари 2021 г.) следобед. Около 16:38 ч. ET в сървъра на Yearn Discord, Джефри Бонгос беше попитал дали хората знаят защо трезорът v1Dai показва, че са загубили голямо количество Dai за няколко минути. И малко след 17:00 ET, предният край на хранилището на v1 DAI на уебсайта на Yearn показва загуба от над 1000%.

Токенът за управление на YFI на Yearn’s спадна до 4000 долара след пробив на сигурността, но по време на писането токенът се търгува над 31 000 долара. Спадът на цените изглежда дойде, след като експлойтът стана известен на широката общественост (което беше, когато акаунтът в UniWhales в Twitter отчете голяма продажба на YFI за ETH).

1 милион + $ YFI суапове за ETH преди няколко минути.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4 февруари 2021 г.

Съобщава се, че нападнатият трезор е годишен трейлър DAI на Yearn’s v1, който е актуализиран до нова инвестиционна стратегия през януари 2021 г..

Стратегията на трезора, когато се извърши атаката, беше да депозира всички средства в „3pool“ на автоматизирания маркет мейкър Крива която държи различни стабилни монети, включително DAI, USDT и USDC, и позволява на потребителите на платформата да сменят всеки от тези цифрови активи един с друг при наистина ниско приплъзване.

Михаил Егоров, Изпълнителният директор на Curve обясни, че лош актьор е депозирал в Curve 3pool, за да манипулира цената на DAI, предоставена от пула.

Трезора по някакъв начин зависеше от цената на DAI, предоставена от този басейн. Тогава договорът беше оттеглен след експлоатацията и многократно повтарян, като бяха взети бързо заети средства, добави Егоров. Той обясни, че това е добре документиран проблем, който потенциално може да се види в други протоколи като Uniswap, но водещият обмен на токени ERC-20 не се използва толкова често за целите на земеделието.

Егоров добави, че е предал своите виждания по този въпрос на екипа на Yearn.Finance и как този проблем може да бъде предотвратен заедно с други подобни подвизи. Той обаче призна, че не е очаквал от тях да допуснат такъв тип грешки, когато пишат кода.

Като обобщено в следкланичния доклад:

„Експлойтът срещу трезора на ynn yDAI на Yearn’s доведе до загуба на 11 милиона DAI на депозити. Действайки за около 11 минути, екипът за сигурност на Yearn и мулти-сиг подписващите портфейли успяха да спрат експлоата, докато той беше в ход, спестявайки 24 милиона DAI от общо 35 милиона DAI депозити в трезора. Чрез създаването на дисбаланси на обменните курсове в Curve’s 3pool, експлоататорът успя да накара трезора yDAI на Yearn да депозира и изтегли средства от 3pool при неблагоприятни курсове при поредица от транзакции. “

Докладът отбелязва още:

„Експлоататорът се възползва от загубата, като задържи голяма част от Curve 3pool по време на атаката и се оттегли в комбинация от USDT, DAI и ETH. Смята се, че е довело до 2.7 милиона DAI печалба. “

Заслужава да се отбележи, че въпреки че нападателят е откраднал Yearn на стойност 11 милиона долара, за извършването на експлоатацията са му били нужни големи суми. Те бяха „само“ в състояние да реализират печалба от 2,7 милиона долара, докато таксите за ликвидност и таксите за залагане по време на хакването достигнаха до 3,5 милиона долара всяка. Таксите Aave v2 бяха около 1,4 милиона долара.