Проект децентрализованного финансирования (DeFi) Yearn.Finance подвергся эксплойту, в ходе которого хранилище v1 yDAI потеряло цифровые активы на сумму около $11 млн. Эксплойт уже ликвидирован.

Проект Yearn.Finance позволяет заниматься «доходным фермерством»: пользователи заносят в пулы свои цифровые активы и получают за это проценты. Недавно платформа обновила свои хранилища, однако смарт-контракты остались без изменений. По данным DeFi Pulse, проекту Yearn.Finance «доверены» активы на сумму $500 млн.

Об утечках средств начали сообщать пользователи каналов Yearn Discord и Telegram 4 февраля, во второй половине дня. Один из пользователей написал: «Кто-нибудь знает, почему у меня написано, что я потерял тысячи DAI за последние несколько минут?» Кроме того, в пользовательском интерфейсе хранилища на сайте Yearn.Finance появилось уведомление о потерях в размере 1 059%.

Специалисты Yearn.Finance также сообщили об атаке в социальной сети Twitter. Позднее разработчик под псевдонимом banteg написал, что организатору атаки удалось уйти с $2.8 млн, а хранилище v1 yDAI потеряло активы на сумму около $11 млн. Депозиты в DAI, TUSD, USDC и USDT деактивированы на время проведения расследования. 

После того, как стало известно об атаке, пользователь Twitter UniWhales DAO сообщил о крупной продаже YFI за ETH. Криптовалюта просела в цене более чем на $5 000 – с $34 979 до $29 580. Затем курс YFI постепенно восстановился до $31 500.

Курс YFI

На момент атаки все средства были размещены в 3pool на платформе Curve. В 3pool находятся DAI, USDT и USDC, что позволяет пользователям обменивать стейблкоины на другие активы с ограниченным проскальзыванием. 

По словам генерального директора Curve Михаила Егорова, кто-то вложил «кучу средств» в 3pool, чтобы манипулировать ценой DAI. Хранилище полагалось на эту цену, а после атаки контракт был расторгнут. Такие действия повторялись несколько раз, и злоумышленнику удалось забрать заемные средства. 

Егоров добавил, что эта проблема хорошо известна, и поделился своими соображениями с командой Yearn.Finance о том, каким образом можно предотвратить подобные уязвимости.

Напомним, что в сентябре основатель Yearn.Finance Андре Кронье (Andre Cronje) запустил игровой протокол Eminence, однако из-за критической уязвимости инвесторы потеряли $15 млн.