Main navigation

Yearn.Finance (YFI) подвергся атаке «‎флэш-кредита»‎, украдено 11 млн долларов

News
Fri, 02/05/2021 - 13:55
article image
Vladislav Sopov
Популярный агрегатор «‎доходного фермерства»‎ Yearn.Finance (YFI) пострадал от эксплойта, который привел к резкому падению цены YFI и многомиллионным потерям.
Yearn.Finance (YFI) подвергся атаке «‎флэш-кредита»‎, украдено 11 млн долларов
Cover image via stock.adobe.com
Read U.TODAY on
Google News
Contents

Один из самых популярных децентрализованных финансовых протоколов, Yearn.Finance (YFI), запущенный Андре Кронье (Andre Cronje), пострадал от эксплойта: злоумышленник сбежал с 2,8 миллиона долларов. Согласно первоначальным результатам сторонних расследований, неизвестный хакер использовал пять отдельных протоколов DeFi для выполнения такой сложной атаки.

Очередная атака «‎флэш-кредита»‎ привела к потере 2,8 миллиона долларов

Сегодня, 5 февраля 2021 года, стало известно, что протокол Yearn.Finance (YFI) подвергся атаке эксплойта «флэш-кредит». Злоумышленники украли из хранилища DAI 11 миллионов долларов, а также 2,8 миллиона долларов в стейблкоинах DAI и USDT. Команда Yearn.Finance (YFI) оперативно подтвердила факт атаки и начала расследование.

Yearn.Finance (YFI) подтверждает атаку на $ 11 млн
Источник изображения: Twitter

«‎Хранилище v1 yDAI пострадало от эксплоита. Эксплойт устранен. В ближайшее время мы опубликуем полный отчет о произошедшей атаке».‎

По словам анонимного разработчика под ником @bantg в Твиттере, атака была успешно устранена в течение примерно 10 минут. Если бы не такая быстрая реакция, атака могла бы быть гораздо более разрушительной:

Благодаря быстрой реакции ущерб составил 11 миллионов долларов вместо 35.

Команда по кибербезопасности Peckshield опубликовала первый всесторонний анализ произошедшего. Они обнаружили, что злоумышленник использовал инструмент «принудительного инвестирования» для вливания ликвидности в стратегию, которая в тот момент не была прибыльной.

Таким образом, конструктивный недостаток позволил злоумышленнику осуществить «атаку с использованием флэш-кредита», в которой задействованы dYdX, Aave Protocol (AAVE), Compound Finance (COMP), Curve Protocol (CRV) и сам Yearn.Finance (YFI).

Эксперты Peckshield раскрывают схему недавней атаки
Источник изображения: Medium

Кроме того, злоумышленник ускользнул от принудительного контроля проскальзывания — механизма безопасности, который защищает систему от подобных атак. Он повторил некоторые шаги взлома, чтобы предотвратить отмену всей атаки.

Цена YFI обрушилась на 11% за считанные минуты

Сразу после обнаружения атаки команда Yearn.Finance (YFI) отключила депозиты для четырех хранилищ, то есть пулов DAI, TUSD, USDC и USDT.

На момент публикации в кошельке злоумышленника все еще хранится более 2,2 миллиона долларов. Он использовал миксер Tornado Cash, чтобы скрыть некоторые транзакции с украденными средствами.

Стоимость YFI, управляющего актива протокола Yearn.Finance (YFI), резко упала сразу после первых сообщений об атаке.

Цена YFI упала на 11% за час
Источник изображения: CoinGecko

Менее чем за 50 минут цена YFI потеряла около 4000 долларов и достигла уровня 30 600 долларов.

article image
About the author