Основной разработчик экосистемы DeFi Yearn.Finance (YFI) Бантег (@bantg) сообщил подробности гипотетической атаки на элементы своего протокола, которые раскрыл так называемый белый хакер.
Ещё 30 января 2022 года специалист описал сценарий атаки на SingleSidedBalancer, элемент инструментария доходного фермерства Yearn.Finance.
Yearn выплатил вознаграждение в размере $ 200 000 белому хакеру, оповестившему об уязвимости через @immunefi.
Прочтите сообщение об уязвимости
https://github.com/yearn/yearn-security/blob/master/disclosures/2022-01-30.md…
Узнайте о нашей программе вознаграждений за безопасность
https://immunefi.com/bounty/yearnfinance/
Инструмент SingleSidedBalancer strategy (или SSB) предназначен для того, чтобы позволить энтузиастам DeFi заниматься доходным фермерством нативной валюты Balancer BAL, обеспечивая ликвидность одного актива. SSB активны на блокчейнах Ethereum (ETH) и Fantom (FTM).
Схема атаки позволяла хакерам сбалансировать пул Balancer и получить USDT по завышенной цене. Благодаря серии флэш-кредитов в USDC и DAI злоумышленник может истощить пул ликвидности Yearn.Finance на сумму, эквивалентную $ 41 млн.
Согласно объяснению Yearn.Finance в репозитории на GitHub, уязвимость была устранена за 25 минут, а все элементы, которые можно использовать, отключены. Теперь средства в безопасности.