“Penyerang berhasil lolos dengan 2.8m, dai vault kehilangan 11.1m,” seorang pengembang Yearn Finance memposting di Discord.
Yearn Finance telah mengalami eksploitasi di salah satu kumpulan pinjaman DAI-nya, menurut akun Twitter resmi protokol keuangan terdesentralisasi (DeFi) .
Pada 17:14 ET, banteg, dari tim Yearn, memposting di Discord : “Penyerang lolos dengan 2.8m, dai vault kehilangan 11.1m”.
Pinjaman flash Aave digunakan untuk memicu pengeringan lemari besi, menurut alamat Ethereum yang dianggap terkait dengan eksploitasi tersebut.
Yearn Finance adalah salah satu tempat terkemuka di DeFi, yang dikenal selalu memungkinkan deposan untuk mendapatkan kembali semua hasil mereka dalam token yang awalnya mereka setorkan. Platform tersebut baru-baru ini diperbarui ke rangkaian brankas baru, tetapi seperti platform kontrak pintar lainnya, kontrak pintar sebelumnya tetap ada. Menurut DeFi Pulse, Yearn saat ini memiliki aset senilai $ 500 juta yang dipercayakan kepadanya. Bahkan pada versi 1, banyak kumpulannya memperoleh hasil tahunan lebih dari 20%.
Pengguna di saluran Yearn Discord dan Telegram mulai melaporkan pengurasan pada Kamis sore. Pada 16:38 ET di server Yearn Discord, Jeffrey Bongos menulis, “Ada yang tahu mengapa v1Dai vault menunjukkan bahwa saya telah kehilangan ribuan Dai dalam beberapa menit terakhir?”
Sedikit setelah pukul 5 sore ET, bagian depan v1 DAI vault di situs Yearn menunjukkan kerugian sebesar 1059%.
Token tata kelola YFI Yearn mengalami penurunan harga $ 4.000 di berita. Tepat setelah serangan itu diketahui publik, akun Twitter UniWhales melaporkan penjualan besar YFI untuk ETH:
@uniwhalesio
1 million + $YFI swaps to ETH a few minutes ago.
Lemari besi yang diserang adalah lemari besi Yearn’s v1 DAI, yang diperbarui menjadi strategi investasi baru bulan lalu, menurut sebuah posting blog yang diterbitkan oleh tim Yearn pada 23 Januari.
Strategi vault pada saat penyerangan adalah menyetorkan semua dana ke dalam kurva “3pool” pada kurva pembuat pasar otomatis (AMM). 3pool Curve berisi DAI, USDT, dan USDC, yang memungkinkan pengguna menukar stablecoin mana pun dengan stablecoin lain dengan slip yang sangat rendah.
“Singkatnya, seseorang menyetor sejumlah uang ke Curve 3pool untuk memanipulasi harga DAI yang diberikan oleh pool,” kata CEO Curve Michael Egorov kepada CoinDesk. “Vault entah bagaimana mengandalkan harga DAI yang diberikan oleh kolam ini. Kemudian kontrak ditarik setelah serangan itu. Dan berulang kali mengambil dana pinjaman flash. ”
Egorov menambahkan:
“Itu adalah masalah yang terkenal (orang juga bisa memilikinya dengan Uniswap, namun Uniswap tidak begitu populer untuk pertanian hasil). Saya telah mengungkapkan pemikiran saya kepada tim yang merindukan bagaimana hal ini dapat dicegah (dan kerentanan serupa, juga). Tapi sejujurnya, tidak menyangka mereka memiliki kesalahan dalam kode, itu mengejutkan saya. “
PEMBARUAN (5 Februari, 2:41 UTC): Menambahkan komentar dari CEO Curve Michael Egorov.