DeFi-проект Yearn.Finance потерял $11 млн

Проект из сферы децентрализованных финансов (DeFi) Yearn.Finance сегодня ночью объявил, что один из его пулов подвергся эксплойту и потерял активы на $11 млн.

We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.

— yearn.finance (@iearnfinance) February 4, 2021

Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m

— banteg (@bantg) February 4, 2021

Yearn.Finance является агрегатором доходности и позволяет пользователям вносить активы в пулы или так называемые хранилища, откуда они затем распределяются по другим DeFi-протоколам для заработка процентных выплат.

Основатель DeFi-платформы Aave Стани Кулечов указал на транзакцию злоумышленника, которая включала в себя использование многочисленных DeFi-протоколов и стоила свыше $5 000 в комиссиях за обработку.

В частности, был задействован сервисного мгновенного кредитования (flash loan) протокола Aave, позволяющего получать неограниченную сумму активов без обеспечения при условии, что они будут возвращены в том же блоке. Инвестор Жюльен Тевенар также отмечает, что в результате этой операции стейкеры протокола Curve Finance заработали $3,5 млн.

Первыми внимание на проблему стали обращать пользователи в каналах Discord и Telegram. В 00:38 по Москве один из них написал:

После 01:00 фронтенд хранилищ v1 на сайте Yearn.Finance начал отображать потерю 1 059%.

Подвергшееся атаке хранилище v1 DAI было обновлено для использования новых инвестиционных стратегий в прошлом месяце. В момент атаки хранилище было настроено таким образом, чтобы вносить все средства в пул 3pool на DeFi-платформе Curve. 3pool содержит DAI, USDT и USDC и позволяет осуществлять обмен стейблкоинов между собой с минимальными различиями курса. Аналитик Игорь Игамбердиев объяснил механику произошедшего:

1. Занять через flash loan 116 000 ETH на dYdX;
2. Занять через flash loan 99 000 ETH на Aave v2;
3. Используя ETH в качестве залогового обеспечения, занять 134 млн USDC и 129 млн DAI через Compound;
4. Добавить 134 млн USDC и 36 млн DAI в пул 3crv Curve;
5. Вывести 165 млн USDT из пула 3crv Curve;
6. Повторить пять раз следующие шаги:
— Внести 93 млн DAI в хранилище yDAI (с каждым разом все меньше);
— Добавить 165 млн USDT в пул 3crv;
— Вывести 92 млн DAI из хранилища yDAI (с каждым разом все меньше);
— Вывести 165 млн USDT из пула 3crv.
7. В последний раз вывести 39 млн DAI и 134 млн USDC вместо USDT;
8. Погасить долг на Compound;
9. Погасить flash loan.

Yearn.Finance стоит у истоков стартовавшего прошлым летом подъема DeFi-пространства. За последние сутки курс YFI опустился на 4,8% до $31 801.