Yearn хак. $10+М потерь
Протокол Yearn этой ночью был атакован флеш-лоан атакой, в результате которой злоумышленник смог украсть: $1,7М USDT, 513k DAI, 506k 3CRV (токенов пула v1 3crv).
Порядок действий в флеш-лоан транзакции был таков:
1 Флеш-лоаны в протоколах AAVE и dYdX в размере 116k ETH и 99k ETH.
2 Через Compound под залоговое обеспечение были взяты 134M USDC и 129M DAI.
3 Добавление в пул 3crv 134M USDC и 36M DAI.
4 Изъятие (Withdraw) 165М USDT из пула 3crv Curve pool.
5 Главная часть флеш-лоан схемы:
- Депозит 93M DAI в yDAI хранилище
- Добавление 165M USDT в 3crv pool
- Вывод 92M DAI из yDAI хранилища
- Вывод 165M USDT из 3crv pool
Операция повторялась 5 раз.
6 В последний раз вывод 39M DAI и 134M USDC.
7 Выплата Compound задолженности
8 Выплата флеш-лоан.
Каждый раз злоумышленник получал больше 3crv токенов, которые он обменял на стейблы.
Сущность данной флеш-лоан атаки была в разбалансировке пула, состоящего из 3 видов стейблкоинов: USDC, USDT, DAI.
Совокупные потери составили: $2.8М - прибыль злоумышленника, $3.5M - доход поставщиков ликвидности в пуле 3crv, $3.5M - доход владельцам токенов veCRV.
Реакция команды Yearn была молниеносной: 10 минут 14 секунд, в том числе собрать кворум и подписать несколько транзакций при помощи мультисиг кошелька.
Флеш-лоан транзакция взлома:
https://etherscan.io/tx/0x6dc268706818d1e6503739950abc5ba2211fc6b451e54244da7b1e226b12e027Злоумышленник припарковал денежные средства на этом адресе.
https://etherscan.io/address/0x14ec0cd2acee4ce37260b925f74648127a889a28 Удивительно, но представители Armor Fi в Lobster чате заявили, что в Armor и Nexus Mutual флеш-лоан атаки не покрываются условиями страховых полисов.
Посмотрим, как отреагирует сообщество и возможен ли консенсус 4000 владельцев токенов veCRV, чтобы возместить потери в размере $3.5М, полученных как торговые комиссии.