Yearn.finance (YFI) fissa rapidamente il „vettore di attacco“ simile a quello utilizzato sul protocollo $1b Harvest
Harvest Finance, quello che era un protocollo di coltivazione da 1 miliardo di dollari sull’Ethereum, ha subito un brutale attacco la scorsa settimana che ha cancellato circa 30 milioni di dollari dai conti degli utenti.
L’aggressore pseudonimo ha fatto leva su un prestito flash, insieme a una serie di transazioni manipolative tra Curve, Uniswap e Harvest, che hanno permesso loro di prosciugare milioni di dollari di stablecoin dalle piscine di Harvest.
I rapporti indicano che l’aggressore avrebbe potuto continuare e ritirare quasi 1 miliardo di Crypto Trader dollari di stablecoin e depositi di Bitcoin gettonati nel protocollo, ma ha scelto di non farlo per un motivo inspiegabile.
Questo attacco ha evidenziato come i prestiti flash possano essere utilizzati per sfruttare le vulnerabilità economiche all’interno dei protocolli DeFi e mettere in comune milioni di dollari.
Che non sia chiaro se sia stato ispirato o meno dall’attacco di Harvest Finance, un ricercatore di sicurezza nello spazio ha trovato un simile difetto economico all’interno di Yearn.finance, l’aggregatore di rendimento originale. Fortunatamente, invece di sfruttare questo difetto, lo ha segnalato al team di Yearn.finance.
Gli sviluppatori di Yearn.finance hanno rapidamente risolto il grosso
Come riportato dal lead Yearn.finance developer Artem „Banteg“ K, il 29 ottobre il team dietro il protocollo è stato contattato dalla ricercatrice di sicurezza Wen-Ding Li attraverso i necessari canali di divulgazione della sicurezza.
Wen-Ding Li ha descritto un potenziale vettore di attacco di un attacco di prestito flash che potrebbe avvenire sul TUSD Vault di Yearn.finance. Il prodotto principale di Yearn.finance sono i suoi Vault, che gestiscono strategie che rendono automaticamente l’azienda agricola con il gettone depositato in ogni Vault.
„Avendo stabilito un contatto, Wen-Ding rivela di avere una prova iniziale del concetto di attacco con un prestito flash che può essere montato sul Vault TUSD, con conseguente perdita del 18% per gli utenti, con la possibilità per l’aggressore di andarsene con 650k TUSD“.
Il vettore dell’attacco teorico era simile a quello dell’Harvest, in quanto questo Yearn.finance Vault non ha tenuto conto correttamente dello slittamento all’interno di Curve al momento del deposito e dell’entrata, permettendo loro di manipolare il prezzo delle monete stabili su Curve a loro vantaggio.
Come ha spiegato ulteriormente Banteg:
„Combinato, questo significava che un attaccante poteva sgranocchiare la fornitura di DAI nel pool di Curve, e trarre profitto dallo sbilanciamento causato come descritto di seguito“.
Fortunatamente, l’exploit è stato rapidamente rattoppato e il Vault non è più vulnerabile.
A quanto pare, i Vault di Yearn.finance per DAI e GUSD erano vulnerabili allo stesso vettore di attacco, ma le misure appropriate erano in atto per evitare che ciò si verificasse.