トップリーグの DeFi エコシステムであり、2020 DeFi Summer で最も誇張されたプロトコルの XNUMX つである Yearn.Finance (YFI) は、そのアーキテクチャに対する攻撃設計を共有しました (現在は修正されています)
内容
- USDT を割引価格で、攻撃者に最大の報奨金を与える
- 別の日には、また驚くべき賞金が与えられるでしょうか?
Yearn.Finance (YFI) DeFi エコシステムの中核開発者である Banteg (@bantg) は、ホワイトハット ハッカーによって暴露されたそのプロトコルの要素に対する仮想的な攻撃の詳細を共有しています。
USDT を割引価格で、攻撃者に最大の報奨金を与える
Banteg 氏のツイートによると、30 年 2022 月 XNUMX 日にホワイトハットハッカーが Yearn.Finance の収量農業ツールキットの要素である SingleSidedBalancer 戦略に対する攻撃のシナリオを報告しました。
Yearn は、責任を持って脆弱性を公開したホワイトハットに 200,000 万ドルの報奨金を支払いました。 @免疫フィ.
脆弱性の開示を読むhttps://t.co/5rTpkCg7IJ
弊社のセキュリティ報奨金プログラムについて詳しくはこちら https://t.co/F3VAdJzyeX
— banteg(@bantg) 2022 年 2 月 11 日
SingleSidedBalancer 戦略 (SSB) は、DeFi 愛好家が単一資産の流動性を提供する Balancer のネイティブ通貨 BAL をファームできるように設計されています。 SSB はイーサリアム (ETH) および Fantom (FTM) ブロックチェーン上でアクティブです。
この攻撃設計は、ハッカーがバランサー プールのバランスを崩し、yvUSDT の SSB 戦略のみが利益を得ることができることが判明したため、高騰した価格で USDT を取得できるようにするために使用されました。
USDC および DAI との一連のフラッシュローンを通じて、攻撃者は Yearn.Finance の流動性プールを 41 万ドル以上相当額枯渇させる可能性があります。
別の日には、また驚くべき賞金が与えられるでしょうか?
GitHub 上の Yearn.Finance のセキュリティ リポジトリで共有されている詳細な説明によると、悪用可能な要素がすべて無効になったため、この脆弱性は 25 分でパッチされました。 現在、リスクにさらされている資金はありません。
11 月 2 日までに、脆弱な戦略はすべて Yearn.Finance と Balancer によって更新されました。 考えられる脆弱性は「緊急」のカテゴリに属しているため、200,000 月 XNUMX 日にホワイトハット攻撃者に XNUMX USDC の報奨金ボーナスが与えられました。
以前 U.Today が報じたように、10 月 2 日、イーサリアム (ETH) のオプティミズム スケーリング ソリューションのチームは、無制限の量のイーサリアムの鋳造を可能にするオプティミズム スマート コントラクトの欠陥を明らかにしたジェイ フリーマン氏に XNUMX 万ドルを支払いました。すべての財布にイーサが入っています。
同様の報奨金が、2021 年 XNUMX 月に潜在的な Polygon (MATIC) 攻撃者に譲渡されました。
出典: https://u.today/yearnfinance-yfi-defi-was-vulnerable-to-flash-loan-攻撃-are-funds-safu