Yearn.Finance (YFI)، وهو نظام بيئي DeFi من الدرجة الأولى وأحد البروتوكولات الأكثر شهرة في DeFi Summer لعام 2020، شارك تصميم الهجوم ضد بنيته (تم إصلاحه الآن)
المحتويات
- USDT بسعر مخفض، أقصى مكافأة للمهاجم
- يوم آخر، مكافأة مكافأة أخرى مذهلة؟
يشارك Banteg (@bantg)، المطور الأساسي لنظام التمويل اللامركزي Yearn.Finance (YFI)، تفاصيل الهجوم الافتراضي على عناصر بروتوكوله الذي كشف عنه أحد متسللي القبعة البيضاء.
USDT بسعر مخفض، أقصى مكافأة للمهاجم
وفقًا لتغريدات Banteg، في 30 يناير 2022، أبلغ أحد متسللي القبعة البيضاء عن سيناريو هجوم على استراتيجية SingleSidedBalancer، وهي عنصر في مجموعة أدوات زراعة العائد الخاصة بـ Yearn.Finance.
دفعت شركة Yearn مكافأة قدرها 200,000 دولار للقبعة البيضاء التي كشفت بشكل مسؤول عن ثغرة أمنية عبر تضمين التغريدة.
اقرأ الكشف عن الثغرة الأمنية https://t.co/5rTpkCg7IJ
تعرف على برنامج المكافآت الأمنية الخاص بنا https://t.co/F3VAdJzyeX
- banteg (bantg) 11 فبراير 2022
تم تصميم إستراتيجية SingleSidedBalancer (أو SSB) للسماح لعشاق التمويل اللامركزي باستغلال العملة الأصلية لـ Balancer BAL، مما يوفر سيولة من أصل واحد. تنشط SSBs على سلاسل كتل Ethereum (ETH) وFantom (FTM).
تم استخدام تصميم الهجوم للسماح للمتسللين باختلال توازن مجموعة Balancer والحصول على USDT بسعر مبالغ فيه حيث تبين أن استراتيجية SSB فقط على yvUSDT هي القابلة للاستغلال بشكل مربح.
من خلال سلسلة من القروض السريعة مع USDC وDAI، يمكن للمهاجم استنزاف مجمع السيولة لدى Yearn.Finance بما يعادل أكثر من 41 مليون دولار.
يوم آخر، مكافأة مكافأة أخرى مذهلة؟
وفقًا للشرح التفصيلي الذي تمت مشاركته في مستودع الأمان الخاص بـ Yearn.Finance على GitHub، تم تصحيح الثغرة الأمنية خلال 25 دقيقة حيث تم تعطيل جميع العناصر القابلة للاستغلال؛ لا توجد أموال في خطر الآن.
بحلول 11 فبراير، تم تحديث جميع الاستراتيجيات الضعيفة بواسطة Yearn.Finance وBalancer. نظرًا لأن الثغرة الأمنية المحتملة هي من فئة "حرجة"، فقد تمت مكافأة المهاجم ذو القبعة البيضاء في 2 فبراير بمكافأة قدرها 200,000 دولار أمريكي.
كما غطته U.Today سابقًا، في 10 فبراير، دفع فريق حل توسيع نطاق Optimism لـ Ethereum (ETH) مليوني دولار للسيد جاي فريمان الذي كشف عن الخلل في العقود الذكية Optimism التي كانت ستسمح بصك كمية لا حصر لها من العملات. الأثير في كل محفظة.
تم تحويل مكافأة مماثلة إلى مهاجم Polygon (MATIC) محتمل في أكتوبر 2021.
المصدر: https://u.today/yearnfinance-yfi-defi-was-vulnerable-to-flash-loan-attack-are-funds-safu