Yearn.finance nhanh chóng sửa chữa lỗ hổng kinh tế và tránh được cuộc tấn công flash loan tương tự Harvest Finance

Updated: 02/11/2020 at 21:00

Harvest Finance, từng là giao thức canh tác lợi nhuận 1 tỷ đô la trên Ethereum, đã trải qua một cuộc tấn công tàn bạo vào tuần trước, đánh cắp khoảng 30 triệu đô la khỏi tài khoản người dùng.

Kẻ tấn công đã tận dụng flash loan, cùng với thao túng một loạt các giao dịch giữa Curve, Uniswap và Harvest, cho phép chúng rút hàng triệu đô la stablecoin từ các pool của Harvest.

Yearn.finance nhanh chóng sửa chữa “vector tấn công” tương tự như một vector được sử dụng trên giao thức 1 tỷ đô la Harvest

Các báo cáo chỉ ra rằng kẻ tấn công đã có thể tiếp tục và rút gần 1 tỷ đô la stablecoin và tiền gửi Bitcoin được mã hóa trong giao thức, nhưng hắn đã chọn không làm như vậy vì một lý do không giải thích được.

Cuộc tấn công này đã làm nổi bật cách flash loan có thể được sử dụng để khai thác các lỗ hổng kinh tế trong các giao thức DeFi và thu về hàng triệu đô la.

Không rõ liệu anh ta có được truyền cảm hứng bởi cuộc tấn công Harvest Finance hay không, một nhà nghiên cứu bảo mật trong không gian đã tìm thấy một lỗ hổng kinh tế tương tự trong Yearn.finance. May mắn thay, thay vì khai thác lỗ hổng này, anh ấy đã báo cáo nó với nhóm Yearn.finance.

Các nhà phát triển của Yearn.finance nhanh chóng sửa chữa lỗ hổng

Theo báo cáo của nhà phát triển Yearn.finance Artem “Banteg” K, vào ngày 29/10, nhóm đằng sau giao thức đã được nhà nghiên cứu bảo mật Wen-Ding Li liên hệ thông qua các kênh tiết lộ bảo mật cần thiết.

Wen-Ding Li đã mô tả một vectơ tấn công tiềm ẩn của một cuộc tấn công flash loan có thể diễn ra trên TUSD Vault của Yearn.finance. Sản phẩm cốt lõi của Yearn.finance là Vault, vận hành các chiến lược tự động mang lại lợi nhuận canh tác với token được ký gửi trong mỗi Vault.

“Sau khi thiết lập liên lạc, Wen-Ding tiết lộ rằng anh ta có bằng chứng ban đầu về khái niệm tấn công flash loan có thể được gắn trên TUSD vault, dẫn đến thiệt hại 18% cho người dùng, với kẻ tấn công có thể bỏ đi với 650,000 TUSD”.

Theo lý thuyết, Vectơ tấn công tương tự như vụ tấn công Harvest, Yearn.finance Vault đã không tính toán đúng đến sự trượt giá trong Curve khi ký gửi và nhập, cho phép họ thao túng giá của stablecoin trên Curve để có lợi cho họ.

Như Banteg giải thích thêm:

“Tổng hợp lại, điều này có nghĩa là kẻ tấn công có thể phá vỡ nguồn cung DAI trong pool của Curve và kiếm lợi nhuận từ sự mất cân bằng gây ra”.

May mắn thay, việc khai thác đã nhanh chóng được vá và Vault không còn dễ bị tấn công.

Về mặt chủ đích, các Vault của Yearn.finance cho DAI và GUSD dễ bị tấn công bởi cùng một phương tiện tấn công nhưng các biện pháp thích hợp đã được áp dụng để tránh điều này xảy ra.

Vector tấn công này xuất hiện ngay sau khi một vector khác được vá. Được thông báo vào cuối tháng 9, các nhà phát triển đã vá một “lỗ hổng bảo mật mà có thể khiến tiền tại các vault của yDAI, yTUSD và yUSD gặp rủi ro“.

Ông Giáo

Theo Cryptoslate

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Đồng sáng lập Ethereum, Vitalik Buterin, một lần nữa khiến thế giới crypto chao đảo – lần này là do anh đã bán 2 nghìn tỷ token meme DOG trên Uniswap V4. Những token này nhiều khả năng đã được gửi vào ví của Buterin mà không có sự đồng... ...

Giá Zilliqa (ZIL) tiếp tục biến động mạnh, chủ yếu do sự bất ổn của thị trường chung. Altcoin này đã gặp khó khăn trong việc duy trì đà tăng ổn định, thường xuyên dao động bởi các yếu tố bên ngoài. Tuy nhiên, sự xuất hiện của Zilliqa 2.0... ...

Gần đây, giá Bitcoin đã có dấu hiệu phục hồi, đưa đồng tiền này tiến gần đến ngưỡng quan trọng 108.000 đô la. Mặc dù sự phục hồi này mang lại niềm hy vọng cho nhà đầu tư, nhưng mức kháng cự chính vẫn chưa được xác nhận là hỗ... ...

Thị trường token Layer-2 (L2) đang thu hút sự chú ý mạnh mẽ từ cộng đồng và các nhà đầu tư, đặc biệt trong bối cảnh Ethereum tiếp tục phải đối mặt với các vấn đề về khả năng mở rộng. Tuy nhiên, mức định giá cao ngất ngưởng của... ...

Giá XRP đã duy trì sự ổn định trong phạm vi từ $2 đến $2,6 kể từ đầu tháng 3 mà không có xu hướng rõ ràng. Tuy nhiên, một số yếu tố đang dần chỉ ra rằng sự “trì trệ” này có thể sẽ sớm nhường chỗ cho một... ...

Pi Core Team, nhóm phát triển Pi Network, đã chính thức công bố ra mắt hàng loạt cải tiến quan trọng trong những ngày gần đây, đánh dấu cột mốc quan trọng khi kỷ niệm sự kiện Pi2Day. Mới đây, Pi Core Team đã công bố một loạt bản cập... ...

Token gốc của Hedera, HBAR, đang phải đối mặt với áp lực bán mạnh mẽ, giảm gần 5% trong ngày, dẫn đến mức lỗ 22% trong suốt 30 ngày qua. Sự giảm giá này phản ánh tình trạng chung của thị trường, khi sức ép bán tháo đã kéo giá... ...

CEO của Coinbase, Brian Armstrong, mới đây đã tiết lộ rằng sàn giao dịch này đang đều đặn mua vào Bitcoin mỗi tuần — một động thái được nhiều người xem là bước đầu trong chiến lược xây dựng kho dự trữ. Trong chia sẻ ngày 27/6, Armstrong cho biết... ...

Token Layer-1 Aptos (APT) hiện đang dẫn đầu về hiệu suất hoạt động trong thị trường crypto, ghi nhận mức tăng gần 10% chỉ trong một ngày. Sự bứt phá này diễn ra ngay sau khi Bitwise nộp biểu mẫu S-1 cập nhật lên Ủy ban Chứng khoán và Giao... ...

Hợp đồng tương lai chứng khoán Mỹ đang ở mức cao kỷ lục khi các thị trường lớn nhất nước này tiến gần đỉnh lịch sử. Theo các nhà phân tích, yếu tố này có thể thúc đẩy Bitcoin đạt mức cao nhất mọi thời đại (ATH) mới. Hợp đồng... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode