Yearn - REKT



Ningún protocolo es demasiado grande para fallar.

El extremo poder de los flash loans hace que los blue chips se disuelvan. Un ataque de arbitraje a la vault de Yearn DAI v1 muestra que incluso nuestros desarrolladores más experimentados pueden cometer errores.

La bóveda fue atacada usando 9 flash loans. Se perdieron $11 millones de la bóveda, $2.7 millones de los cuales fueron para el agresor, $3.5 millones para los proveedores de liquidez de Curve, $3.5 millones para los stakers de Curve y $1.4 millones se pagaron en tarifas de Aave v2.

Los sistemas DeFi están en flujo constante. Los protocolos cada vez más entrelazados crean una máquina infinita con innumerables partes móviles.

El desarrollo de nuestra industria avanza a una velocidad vertiginosa y cada día se descubren nuevas ideas y posibles vectores de ataque.

Un entorno en cambio constante implica que incluso los productos que han sobrevivido no pueden garantizar una seguridad absoluta.

Ser víctima de un arbitrajista debe ser humillante para el equipo que alguna vez fue visto como invencible, pero no hay placer en señalar fallas en el trabajo de los desarrolladores que crean tanto valor en nuestra industria.

El equipo de Yearn ha emitido su versión de un post-mortem, aunque no se mencionan los flash loans.

Igor Igamberdiev dio un análisis más detallado del ataque en Twitter.

Beneficios del agresor:

  • 513k DAI
  • 1.7M USDT
  • 506k 3CRV restantes (~$1)

El agresor ejecutó 11 transacciones:

  1. Flash loan de 116k ETH desde dYdX
  2. Flash loan de 99k ETH desde Aave v2
  3. Tomar prestado 134M USDC y 129M DAI usando ETH como collateral en Compound
  4. Agregar 134M USDC y 36M DAI a la pool 3crv de Curve
  5. Retirar 165M USDT de la pool 3crv de Curve
  6. Repetir cinco veces
  • Depositar 93M DAI a la bóveda yDAI (cada vez menos)
  • Agregar 165M USDT a la pool 3crv
  • Retirar 92M DAI de la bóveda yDAI (cada vez menos)
  • Retirar 165M USDT de la pool 3crv
  1. La última vez, retirar 39M DAI y 134M USDC en lugar de USDT
  2. Devolver las deudas de Compound
  3. Devolver los flash loans

Cada vez, el agresor tenía más tokens 3crv, los cuales después él pudo cambiar por stablecoins.

Contrato del agresor:

https://etherscan.io/address/0x62494b3ed9663334e57f23532155ea0575c487c5Attac

Tornado TX #1

https://etherscan.io/tx/0x7ee28e342573ff7b8fb4bd2e4373e742cf80d8f8c7f8764cc6b70439dc33f037

Tornado TX #2

https://etherscan.io/tx/0x13c12895d44f8b890af2187b93b97bec01dd34eeb026ac9669d8412e57d64446

Tornado TX #3

https://etherscan.io/tx/0x6b07e3faaa419ea5a3d58929e07b872f8529441064eb576d61ef5edd697f7256

Tornado TX #4

https://etherscan.io/tx/0xcacdc95bd65556426bae39025ddb1deafb65acb908be49fb7186bb750f7a369f

La ventana de oportunidad de ganancia se creó porque la tarifa de retiro se desactivó para la migración de la bóveda.


Los lectores sabrán que no hay nada nuevo sobre los ataques de flash loans, como también lo saben los desarrolladores de Yearn, que son lo suficientemente competentes como para haber prevenido que esto sucediera, lo que sugiere que esto fue solo un oportunista que se aprovechó de un error cometido durante la migración de la bóveda.

Los chismes y el drama siguen acaparando la comunidad DeFi; y muchos consideraron que este ataque era una represalia por las anteriores acusaciones de hipocresía de Cronje contra Julien Bouteloup; uno de los contribuyentes a Stake DAO.

Aunque muchos de nuestros lectores (y tu autor anónimo) disfrutarían en secreto de ver una batalla de este tipo entre los dos desarrolladores, se demostró que estas acusaciones eran falsas ya que la cuenta de los agresores se financió, y el contrato se redactó, horas antes de que se hiciera esta crítica.

Como dos de los desarrolladores más destacados de nuestra industria, es entendible que haya cierta competencia. La pasión por su trabajo y la responsabilidad de vincular su reputación junto al código que alberga cientos de millones de dólares, pone a las relaciones laborales bajo una enorme cantidad de estrés.

También vale la pena recordar que no todos nuestros mejores desarrolladores están en Twitter.


Si un protocolo DeFi recibe reembolsos de una empresa centralizada, ¿en qué momento deja de ser DeFi?

Tether ha congelado 1,7 millones de USDT que fueron robados durante el ataque. En el pasado, Tether ha reembolsado a los usuarios que perdieron dinero por error enviando tokens a la dirección del contrato.

Si Tether quema estos tokens robados y mina el equivalente para devolver los fondos a Yearn, entonces no son diferentes a ningún banco central.

El desarrollador de Yearn @fubuloubu se ha pronunciado en contra del uso de Tether en el pasado, pero parece haber cambiado de opinión después de su intervención.

A todos nos encanta la descentralización cuando nos aporta beneficios, pero los reembolsos se realizan mejor de forma centralizada.


Este ataque fue directo al corazón de uno de los conglomerados de DeFi más grandes, sacudiendo los cimientos de lo que alguna vez fue visto como una fortaleza impenetrable.

Incluso los mejores en el negocio cometen errores, pero esto no debería disuadirnos de alentarlos a desarrollar.

Cuando las tensiones son altas y los equipos de DeFi comienzan a elegir lados en contra unos de otros, todos haríamos bien en alejarnos y mirar el panorama general.

Construimos armas contra la TradFi. No debemos oprimir el flujo de innovación peleando entre nosotros, cuando la verdadera pelea somos nosotros contra ellos.

Eventualmente, miraremos hacia atrás a este período con nada más que respeto por todos aquellos que compartieron la visión en una etapa tan temprana.

Anoche, apareció la primera grieta en la armadura de Yearn. ¿Su error hará que la comunidad pierda su fe, o podremos unirnos todos detrás de este gigante que es DeFi y ayudarlos a crecer aún más fuertes?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.