Yearn.finance (YFI) aurait pu être silloné tel Harvest.finance

Please follow and like us:

Harvest Finance, ce qui était autrefois un protocole de yield farming d’un milliard de dollars sur Ethereum. Il a subi une attaque brutale la semaine dernière qui a effacé environ 30 millions de dollars des comptes d’utilisateurs.

Pour tout comprendre sur le Yield Farming => le Yield Farming

L’attaquant pseudonyme a tiré parti d’un flash loan. Ainsi que d’une série de transactions manipulatrices entre Curve, Uniswap et Harvest, qui leur ont permis de drainer des millions de dollars de stablecoins des pools de Harvest.

Pour tout comprendre sur le flash loan => les prêts flashs

Les rapports indiquent que l’attaquant aurait pu continuer et retirer près d’un milliard de dollars de dépôts stables et tokenisés Bitcoin dans le protocole. Mais il a choisi de ne pas le faire pour une raison inexpliquée.

Cette attaque a mis en évidence comment les flash loan peuvent être utilisés pour exploiter les vulnérabilités économiques des protocoles DeFi. Et mettre en commun des millions de dollars.

Que l’on ne sache pas s’il a été inspiré ou non par l’attaque de Harvest Finance, un chercheur en sécurité dans l’espace a trouvé une faille économique similaire dans Yearn.finance, l’agrégateur de rendement d’origine. Heureusement, au lieu d’exploiter cette faille, il l’a signalée à l’équipe de Yearn.finance.

Les développeurs de Yearn.finance corrigent rapidement

Comme signalé par Artem «Banteg» K, développeur principal de Yearn.finance, l’équipe derrière le protocole a été contactée le 29 octobre par le chercheur en sécurité Wen-Ding Li via les canaux de divulgation de sécurité requis.

Wen-Ding Li a décrit un vecteur d’attaque potentiel d’une attaque de flash loan qui pourrait avoir lieu sur TUSD Vault de Yearn.finance. Le produit principal de Yearn.finance est ses coffres-forts. Elles exploitent des stratégies qui rapportent automatiquement la ferme avec le jeton déposé dans chaque coffre-fort.

«Après avoir établi le contact, Wen-Ding révèle qu’il a une première preuve de concept d’une attaque de prêt flash. qui peut être montée sur le coffre-fort TUSD. entraînant une perte de 18% pour les utilisateurs, l’attaquant pouvant repartir avec 650k TUSD. »

Le vecteur d’attaque théorique était similaire à celui de Harvest. En ce sens que ce Yearn.finance Vault ne tenait pas correctement compte du glissement dans Curve lors du dépôt et de l’entrée. Leur permettant de manipuler le prix des pièces stables sur Curve à leur avantage.

Comme Banteg l’a expliqué plus loin:

«Combiné, cela signifiait qu’un attaquant pouvait réduire l’approvisionnement en DAI dans le pool y de CURVE. et profiter du déséquilibre causé comme indiqué ci-dessous.»

Heureusement, la faille été rapidement corrigé et le Vault n’est plus vulnérable.

Apparemment, les coffres de Yearn.finance pour DAI et GUSD étaient vulnérables au même vecteur d’attaque. Mais les mesures appropriées étaient en place pour éviter que cela ne se produise.

Ce vecteur d’attaque vient peu de temps après qu’un autre a été corrigé. Annoncé fin septembre, les développeurs ont corrigé une «vulnérabilité. Celle-ci aurait pu mettre en danger les fonds des coffres yDAI, yTUSD et yUSD. ”

 


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *