Протокол децентрализованного финансирования Yearn Finance подвергся хакерской атаке, из-за которой пострадал кредитный пул DAI. Согласно официальному объявлению разработчиков, хакер выкачал токены на $11,1 млн.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
Атаке подверглось хранилище DAI Yearn v1, которое в прошлом месяце было обновлено для новой инвестиционной стратегии. На момент атаки, стратегия хранилища заключалась в размещении всех средств в пуле 3pool автоматического маркет-мейкера Curve. 3pool содержит DAI, USDT и USDC, и позволяет обменивать с очень низким проскальзыванием любые стабильные монеты на другие.
«Кто-то вложил большое количество средств в Curve 3pool, чтобы манипулировать предоставленной пулом ценой DAI, Хранилище полагалось на указанную этим пулом цену DAI. А после нападения контракт расторгался. Злоумышленник неоднократно повторял этот процесс, забирая заемные средства из флеш-крелита, — сказал генеральный директор Curve Михаил Егоров. — Это хорошо известная проблема (она может быть даже на Uniswap, однако Uniswap не так популярна для выращивания урожая). Я поделился своими мыслями с командой Yearn Finance о том, как это можно было предотвратить (и схожие уязвимости тоже). Но, честно говоря, я не ожидал, что у них окажется такая ошибка в коде, это стало для меня сюрпризом».
Основатель протокола Aave Стани Кулечев пояснил, что злоумышленник совершил более 160 транзакций на нескольких DeFi платформах, и потратил более $5000 за газ. Однако хакер сумел забрать не все $11 млн — вывод средств был срочно остановлен, поэтому злоумышленник успел вывести только $2,8 млн.