Yearn.Finance (YFI), экосистема DeFi высшей лиги и один из самых разрекламированных протоколов DeFi Summer 2020, поделилась схемой атаки на свою архитектуру (теперь исправлено)
Содержание:
- USDT со скидкой, максимальная награда злоумышленнику
- Еще один день, еще одна сногсшибательная награда?
Бантег (@bantg), основной разработчик экосистемы DeFi Yearn.Finance (YFI), делится подробностями гипотетической атаки на элементы своего протокола, раскрытой хакером в белой шляпе.
USDT со скидкой, максимальная награда злоумышленнику
Согласно твитам Бантега, 30 января 2022 года хакер в белой шляпе сообщил о сценарии атаки на стратегию SingleSidedBalancer, элемент инструментария доходного фермерства Yearn.Finance.
Компания Yearn выплатила вознаграждение в размере 200,000 XNUMX долларов белому хакеру, ответственно раскрывшему уязвимость через @иммунефи.
Ознакомьтесь с информацией об уязвимостях https://t.co/5rTpkCg7IJ
Узнайте о нашей программе вознаграждений за безопасностьhttps://t.co/F3VAdJzyeX
- бантег (@bantg) 11 февраля 2022
Стратегия SingleSidedBalancer (или SSB) предназначена для того, чтобы позволить энтузиастам DeFi фармить собственную валюту Balancer BAL, обеспечивая ликвидность одного актива. SSB активны на блокчейнах Ethereum (ETH) и Fantom (FTM).
Схема атаки использовалась, чтобы позволить хакерам сбалансировать пул Balancer и получить USDT по завышенной цене, поскольку было обнаружено, что только стратегия SSB на yvUSDT может быть прибыльной.
Благодаря серии мгновенных кредитов в USDC и DAI злоумышленник может истощить пул ликвидности Yearn.Finance на сумму более 41 миллиона долларов в эквиваленте.
Еще один день, еще одна сногсшибательная награда?
Согласно подробному объяснению, опубликованному в репозитории безопасности Yearn.Finance на GitHub, уязвимость была устранена за 25 минут, поскольку все элементы, которые можно использовать, были отключены; никакие средства не находятся под угрозой сейчас.
К 11 февраля все уязвимые стратегии были обновлены Yearn.Finance и Balancer. Поскольку возможная уязвимость относится к категории «Критическая», 2 февраля злоумышленник был награжден премией в размере 200,000 XNUMX долларов США.
Как сообщалось U.Today ранее, 10 февраля команда решения для масштабирования Optimism для Ethereum (ETH) заплатила 2 миллиона долларов г-ну Джею Фриману, который раскрыл недостаток в смарт-контрактах Optimism, который позволил бы чеканить бесконечное количество Эфир в каждом кошельке.
Аналогичное вознаграждение было передано потенциальному злоумышленнику Polygon (MATIC) в октябре 2021 года.
Источник: https://u.today/yearnfinance-yfi-defi-was-vulnerable-to-flash-loan-attack-are-funds-safu.