Yearn Finance (YFI) hat einen Exploit in einem seiner DAI-Lending-Pools erlitten. Dabei konnten die Hacker 2,8 Millionen US-Dollar erbeuten und 11,1 Millionen US-Dollar gingen aus dem Pool verloren.
Um 23:14 Uhr gestern Nacht deutscher Zeit schrieb Banteg, von der Yearn-Team in Discord:
Angreifer ist mit 2,8 Mio. davongekommen, DAI Tresor hat 11,1 Mio. verloren.
Gleichzeitig wurde die Schreckensbotschaft auch auf Twitter verbreitet. Eine Nachricht, die vielen durch Mark und Bein ging.
We have noticed the v1 yDAI vault has suffered an exploit. The exploit has been mitigated. Full report to follow.
— yearn.finance (@iearnfinance) February 4, 2021
Exploit trifft Yearn Finance, den Vorreiter in DeFi
Ein Aave-Flash-Darlehen wurde verwendet, um die Entleerung des Vaults auszulösen. Zumindest deutet darauf die Historie einer Ethereum-Adresse hin, die vermutlich mit dem Exploit verbunden ist.
Yearn Finance (YFI) ist einer der führenden Projekte und Gemeinschaften im Bereich von DeFi. Es ist bekannt für seine Vaults, die es den Stakern ermöglichen eine direkte Rendite mit Zinseszins auf ihre Einlagen zu verdienen. Laut DeFi Pulse, verwaltet Yearn Finance aktuell ein Vermögen von 480 Millionen US-Dollar. Kein Wunder hinsichtlich der attraktiven Renditen. Selbst viele der älteren Versionen (v1) der Vaults verdienen jährliche Renditen von weit über 20%.
Abb.1: Gesamtwert der Vermögenswerte auf Yearn.Finance. Quelle: DeFi Pulse
Ziel war die ältere Version des DAI-Vaults
Die Plattform hat vor kurzem auf einige Vaults auf v2 aktualisiert, aber wie bei jeder Smart-Contract-Plattform blieben die vorherigen Smart Contracts bestehen. Die v1 Version des DAI-Vaults wurde nun Opfer des Angriffs.
Benutzer in der Discord und Telegram Gruppe von Yearn Finance begannen bereits am Donnerstag gegen 22:40 Uhr merkliche Abflüsse ihrer Einlagen im DAI-Vault zu bemerken. In der Discord-Gruppe schrieb Jeffrey Bongos:
Weiß jemand, warum v1Dai vault anzeigt, dass ich in den letzten paar Minuten tausende Dai verloren habe?
Um kurz nach 23:00 Uhr zeigte das Frontend des v1-Dai-Tresors auf der Webseite von Yearn Finance das Ausmaß der Katastrophe. Es wurde ein Verlust von 1059% angezeigt.
Kurz nachdem der Angriff öffentlich wurde, bestätigte der UniWhales Twitter-Account einen großen Verkauf von YFI für ETH.
1 million + $YFI swaps to ETH a few minutes ago.👀👀 pic.twitter.com/RtAAN90s2n
— UniWhales DAO (@uniwhalesio) February 4, 2021
Der YFI Kurs reagierte prompt mit einem Preisabfall von 4.000$, von dem er sich aktuell zu erholen scheint.
Abb.2: YFI/USD auf dem 1H-Chart. Quelle: Tradingview
Der Angriff soll auf Curve stattgefunden haben
Der angegriffene Vault war der DAI-Tresor von Yearn, der im letzten Monat auf eine neue Anlagestrategie aktualisiert wurde. Dies geht aus einem Blog-Beitrag hervor, den das Yearn Finance-Team am 23. Januar veröffentlichte.
Die Strategie des Vaults zum Zeitpunkt des Angriffs war es, alle Gelder in den “3pool” auf dem automatisierten Marketmaker (AMM) Curve zu hinterlegen. Curve’s 3pool enthält DAI, USDT und USDC, so dass Benutzer jeden der Stablecoins gegen einen anderen mit sehr geringem Slippage tauschen können.
Der Curve-CEO Michael Egorov erklärte den Angriff wie folgt:
Kurz gesagt, jemand hat einen Haufen in Curve 3pool eingezahlt, um den DAI-Preis zu manipulieren, der vom Pool vorgegeben wird. Der Vault verließ sich irgendwie auf den DAI-Preis, der von diesem Pool gegeben wurde. Dann zog sich der Vertrag nach dem Angriff zurück. Und das wiederholte sich viele Male, indem per Flash-Kredite Gelder herausgenommen wurden.
Egorov fügte hinzu:
Das ist ein bekanntes Problem (man könnte es auch mit Uniswap haben, aber Uniswap ist nicht so populär für Yield Farming). Ich habe dem Yearn-Team meine Gedanken mitgeteilt, wie man das hätte verhindern können (und ähnliche Schwachstellen auch). Aber ehrlich gesagt, habe ich nicht erwartet, dass sie einen solchen Fehler im Code haben, das war eine Überraschung für mich.
