Một trong những giao thức tài chính phi tập trung phổ biến nhất, Yearn.Finance (YFI) do Andre Cronje tung ra, đã bị khai thác: một kẻ tấn công đã trốn thoát với 2,8 triệu đô la. Theo kết quả điều tra ban đầu của bên thứ ba, hacker bí ẩn đã sử dụng 5 giao thức DeFi riêng biệt để thực hiện một cuộc tấn công tinh vi như vậy.
Tuy nhiên, một cuộc tấn công “cho vay nhanh” khác dẫn đến thiệt hại 2,8 triệu đô la
Hôm nay, ngày 5 tháng 2 năm 2021, được biết rằng giao thức Yearn.Finance (YFI) đã bị tấn công thông qua khai thác “khoản vay nhanh”. Những kẻ lừa đảo đã rút 11 triệu đô la từ một kho tiền DAI và thu về 2,8 triệu đô la trong các stablecoin DAI và USDT. Nhóm Yearn.Finance (YFI) đã nhanh chóng xác nhận rằng cuộc tấn công đã xảy ra và bắt đầu điều tra.

Yearn.Finance (YFI) xác nhận cuộc tấn công 11 triệu đô la
Hình ảnh qua Twitter
Theo một nhà phát triển ẩn danh theo @bantg trên Twitter, cuộc tấn công đã được giảm thiểu thành công trong khoảng 10 phút. Nếu không có phản ứng nhanh như vậy, cuộc tấn công có thể còn tàn khốc hơn nhiều:
Phản ứng nhanh đã làm giảm thiệt hại từ 35 triệu đô la xuống 11 triệu đô la.
Phân tích toàn diện đầu tiên về những gì đã xảy ra đã được báo cáo bởi nhóm an ninh mạng Peckshield. Họ phát hiện ra rằng kẻ tấn công đã sử dụng một công cụ “đầu tư bắt buộc” để bơm thanh khoản vào một chiến lược không mang lại lợi nhuận vào lúc này.
Do đó, lỗ hổng thiết kế đã cho phép nam nhân tố thực hiện “cuộc tấn công cho vay nhanh” liên quan đến chính dYdX, Aave Protocol (AAVE), Compound Finance (COMP), Curve Protocol (CRV) và Yearn.Finance (YFI).

Các chuyên gia Peckshield tiết lộ thiết kế của cuộc tấn công gần đây
Hình ảnh qua Phương tiện
Ngoài ra, malefactor đã loại bỏ kiểm soát trượt giá được thực thi, một cơ chế bảo mật bảo vệ hệ thống khỏi các hành vi khai thác như vậy. Anh / cô ấy lặp lại một số bước của cuộc tấn công để ngăn chặn toàn bộ cuộc tấn công bị đảo ngược.
Giá YFI giảm 11% trong vài phút
Ngay sau khi tiết lộ về vụ tấn công, nhóm Yearn.Finance (YFI) đã vô hiệu hóa tiền gửi cho bốn hầm, tức là DAI, TUSD, USDC và USDT pool.
Vào thời điểm viết bài, ví của kẻ tấn công vẫn còn hơn 2,2 triệu đô la. Anh ấy / cô ấy đã sử dụng Tornado Cash mixer để làm xáo trộn một số giao dịch với số tiền bị đánh cắp.
Giá của YFI, một tài sản quản trị của giao thức Yearn.Finance (YFI), đã sụp đổ ngay sau những thông báo đầu tiên về cuộc tấn công.

Giá YFI giảm mạnh 11% trong một giờ
Hình ảnh của CoinGecko
Trong vòng chưa đầy 50 phút, giá YFI mất khoảng 4.000 USD / YFI và chạm mức 30.600 USD.