Протокол Yearn - REKT

Величина протокола не убережет его от провала.

Голубые фишки превращаются в черные под действием экстремальной мощности флэш-кредитов. Арбитражная атака на хранилище DAI v1 протокола Yearn показала, что даже самые опытные разработчики могут допускать ошибки.

Хранилище атаковали с помощью 9 флэш-кредитов. Всего из хранилища было потеряно $11 миллионов, из которых $2.7M забрал хакер, $3.5M ушли провайдерам ликвидности Curve, $3.5M ушли стакерам Curve и $1.4M комиссии были выплачены Aave v2.

Системы DeFi находятся в постоянном движении. Всё более взаимосвязанные протоколы собираются в бесконечный механизм с бесчисленным множеством движущихся частей.

Наша индустрия развивается с головокружительной скоростью. Новые идеи и потенциальные векторы атак раскрываются каждый день.

В постоянно меняющейся среде даже проверенные временем продукты не дают гарантию абсолютной безопасности.

Должно быть унизительно стать жертвой арбитражера для команды, казавшейся непобедимой. Но мало приятного в том, чтобы указывать пальцем на ошибки в работе разработчиков, благодаря которым наша сфера приобретает такую ценность.

Команда Yearn опубликовала свою версию пост-мортема, хотя в ней не упоминаются флэш-кредиты.

Igor Igamberdiev сделал более подробный анализ атаки в Твиттере.

Добыча атакующего:

- 513k DAI

- 1.7M USDT

- оставшиеся 506k 3CRV (~$1)

Атакующий выполнил 11 транзакций.

1/ Взял в флэш-кредит 116k ETH на dYdX

2/ Взял в флэш-кредит 99k ETH на Aave v2

3/ Занял 134M USDC и 129M DAI, используя ETH как залог на Compound

4/ Добавил 134M USDC и 36M DAI в 3crv-пул Curve

5/ Вывел 165M USDT из 3crv-пула Curve

6/ Повторил 5 раз

- Депозит 93M DAI в хранилище yDAI (каждый раз меньше)

- Добавил 165M USDT в пул 3crv

- Вывел 92M DAI из пула 3crv (каждый раз меньше)

- Ввывел 165M USDT из пула 3crv

7/ В последний раз вывел 39M DAI и 134M USDC вместо USDT

8/ Выплатил долг Compound

9/ Выплатил флэш-кредиты

Каждый раз у хакера увеличивалось число токенов 3crv, которые он мог потом обменять на стейблкоины.

Контракт атакующего: https://etherscan.io/address/0x62494b3ed9663334e57f23532155ea0575c487c5Attac

Транзакция №1 на Tornado

https://etherscan.io/tx/0x7ee28e342573ff7b8fb4bd2e4373e742cf80d8f8c7f8764cc6b70439dc33f037

Транзакция №2 на Tornado

https://etherscan.io/tx/0x13c12895d44f8b890af2187b93b97bec01dd34eeb026ac9669d8412e57d64446

Транзакция №3 на Tornado

https://etherscan.io/tx/0x6b07e3faaa419ea5a3d58929e07b872f8529441064eb576d61ef5edd697f7256

Транзакция №4 Tornado

https://etherscan.io/tx/0xcacdc95bd65556426bae39025ddb1deafb65acb908be49fb7186bb750f7a369f

Возможность поживиться появилась, когда комиссия на вывод средств была выключена из-за миграции хранилища.

Читатели теперь знают, что в атаках с помощью флэш-кредитов нет ничего нового, и разработчики Yearn тоже. Они достаточно компетентны, потому что до сих пор им удавалось этого избежать. А в случившемся виноват оппортунист, который воспользовался ошибкой во время миграции хранилища.

В сообществе DeFi еще много сплетен и драм; многие увидели в этой атаке возмездие в ответ на обвинение Cronje в лицемерии в адрес Жюльена Бутелу (Julien Bouteloup), одного из участников Stake DAO.

Хоть многие читатели (и ваш анонимный автор тоже) и порадуются втайне такой схватке двух разработчиков, было доказано, что эти обвинения фальшивы, потому что счет хакера был пополнен и контракт написан за много часов до того, как была высказана критика.

Это два самых выдающихся разработчика в индустрии, поэтому без конкуренции не обойтись. Страсть к своей работе и ответственность, потому что твоя репутация завязана на коде, который содержит сотни миллионов долларов, приводят к тому, что рабочие взаимоотношения происходят в условиях огромного стресса.

И не стоит забывать, что что не все наши лучшие разработчики есть в Твиттере.

Если DeFi-протокол получает средства от централизованной компании, в какой момент он перестает быть DeFi?

Tether заморозил 1.7M USDT, украденных в ходе хакерской атаки. В прошлом Tether возместил деньги пользователям, которые по ошибке послали токены на адрес контракта.

Если Tether сожжет эти украденные токены и напечатает эквивалент, чтобы вернуть средства Yearn, тогда они ничем не отличаются от центрального банка.

Разработчик Yearn, @fubuloubu в прошлом высказывался против использования Tether, но похоже передумал после их вмешательства.

Мы все любим децентрализацию, когда они приносит нам доход. Но возврат лучше, когда он подается централизованно.

Эта атака попала в самое сердце одного из крупнейших конгломератов DeFi и сотрясла основы казавшейся раньше неприступной крепости.

Даже лучшие в бизнесе допускают ошибки, но это не должно нам мешать поддерживать их проекты.

Когда напряжение нарастает и команды DeFi начинают становиться лагерями друг против друга, нам всем стоило бы сделать шаг назад и посмотреть на картину в целом.

Мы создаем оружие для борьбы с традиционными финансами. Не нужно подавлять поток инноваций борясь друг с другом, потому что на самом деле мы боремся с ними.

Возможно, мы будем вспоминать это время только лишь с уважением ко всем тем, кто делился видением на таком раннем этапе.

Прошлой ночью в броне Yearn появилась первая трещина. Заставит ли это сообщество потерять доверие, или же мы сможем сплотиться вокруг этого гиганта DeFi, и помочь им стать еще сильнее?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.