В ночь на 5 февраля хакеры атаковали один из пулов Yearn.Finance и вывели $2,8 млн, а потери хранилища составили $11 млн.
Ночью, 5 февраля пользователи стали замечать, что у них со счетов пропадают средства. Сегодня утром команда сообщила, что в одном из пулов была обнаружена уязвимость, которую уже ликвидировали. В официальном Twitter-аккаунте разработчики уточнили, что в результате атаки пострадало хранилище v1 yDAI.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
Хакеру удалось уйти с 2,8 млн долларов, при этом хранилище потеряло $11 млн. Депозиты в стратегии хранилищ v1 DAI, TUSD, USDC, USDT отключены.
Злоумышленник использовал многочисленные DeFi протоколы. Это был сложный эксплойт: 160 вложенных транзакций и 8,6 млн единиц использованного газа. При атаке использовали сервис мгновенного кредитования (flash loan) протокола Aave.
DeFi проект Yearn.Finance позволяет пользователям вносить средства в хранилища, из которых активы распределяются по другим DeFi-протоколам для заработка процентов.
