Yearn Finance DAI Vault 'Nagdusa ng Pagsasamantala'; Naubos ang $11M

I-UPDATE (Peb. 5, 15:41 UTC): Inilathala ni Yearn a detalyadong post-mortem tungkol sa pagsasamantala noong Biyernes ng umaga. Dagdag pa, inihayag Tether ang pag-freeze ng $1.7 milyon sa USDT na kasangkot sa pag-atake, ayon sa I-Tether ang CTO na si Paolo Ardoino.

Ang Yearn Finance ay nagdusa ng pagsasamantala sa ONE nito DAI lending pool, ayon sa opisyal ng decentralized Finance (DeFi) protocol Twitter account.

Sa 5:14 p.m. Nag-post si ET, banteg, mula sa Yearn team sa Discord: "Nakawala ang attacker na may 2.8m, natalo ang DAI vault ng 11.1m."

Isang Aave flash loan ang ginamit para ma-trigger ang vault draining, ayon kay an Address ng Ethereum ipinapalagay na nauugnay sa pagsasamantala.

Ang Yearn Finance ay ONE sa mga nangungunang lugar sa DeFi, na kilala sa palaging pagpapagana ng mga depositor na mabawi ang lahat ng kanilang ani sa token na una nilang idineposito. Na-update kamakailan ang platform sa isang bagong hanay ng mga vault, ngunit tulad ng anumang platform ng smart contract, nagpatuloy ang mga naunang smart contract. Ayon sa DeFi Pulse, ang Yearn ay kasalukuyang mayroong $500 milyon na halaga ng mga asset na ipinagkatiwala dito. Kahit na sa bersyon 1, marami sa mga pool nito ang kumikita ng taunang ani na higit sa 20%.

Ang mga gumagamit sa Yearn Discord at Telegram channel ay nagsimulang mag-ulat ng mga drains noong Huwebes ng hapon. Sa 4:38 p.m. ET sa server ng Yearn Discord, isinulat ni Jeffrey Bongos, "Sinuman ang nakakaalam kung bakit ipinapakita ng v1Dai vault na nawalan ako ng libu-libong [d]ai sa huling ilang minuto?"

Pagkalipas ng kaunti pagkatapos ng 5 pm ET, ang front end ng v1 DAI vault sa Yearn website ay nagpakita ng pagkawala ng 1,059%.

Ang token ng pamamahala ng YFI ng Yearn ay may a presyo pagbaba ng $4,000 sa balita. Pagkaraang maging publiko ang pag-atake, ang UniWhales Twitter account ay nag-ulat ng malaking benta ng YFI para sa ETH:

Ang vault na inatake ay ang v1 DAI vault ng Yearn, na na-update sa isang bagong diskarte sa pamumuhunan noong nakaraang buwan, ayon sa isang post sa blog inilathala ng pangkat ng Yearn noong Ene. 23.

Ang diskarte ng vault sa oras ng pag-atake ay i-deposito ang lahat ng pondo sa "3pool" sa automated market Maker (AMM) Curve. Ang 3pool ng Curve ay naglalaman ng DAI, USDT at USDC, na nagpapahintulot sa mga user na palitan ang alinman sa mga stablecoin para sa isa pa sa napakababang slippage.

"Sa madaling sabi, may nagdeposito ng grupo sa Curve 3pool upang manipulahin ang presyo ng DAI na ibinigay ng pool," sinabi ni Curve CEO Michael Egorov sa CoinDesk. "Ang Vault kahit papaano ay umaasa sa presyo ng DAI na ibinigay ng pool na ito. Pagkatapos ay nag-withdraw ang kontrata pagkatapos ng pag-atake. At inulit ng maraming beses na kumukuha ng flash-borrowed funds."

Idinagdag ni Egorov:

"Iyon ay isang kilalang isyu (ONE mayroon din ito sa Uniswap, gayunpaman, ang Uniswap ay hindi gaanong sikat para sa pagsasaka ng ani). Ipinahayag ko ang aking mga saloobin sa koponan ng Yearn kung paano ito maiiwasan (at ang mga katulad na kahinaan, masyadong). Ngunit sa totoo lang, T inaasahan na magkakaroon sila ng ganoong pagkakamali sa code, iyon ay isang sorpresa sa akin."

I-UPDATE (Peb. 5, 2:41 UTC): Nagdaragdag ng mga komento mula sa Curve CEO Michael Egorov.