Yearn.finance nhanh chóng sửa chữa lỗ hổng kinh tế và tránh được cuộc tấn công flash loan tương tự Harvest Finance

Updated: 02/11/2020 at 21:00

Harvest Finance, từng là giao thức canh tác lợi nhuận 1 tỷ đô la trên Ethereum, đã trải qua một cuộc tấn công tàn bạo vào tuần trước, đánh cắp khoảng 30 triệu đô la khỏi tài khoản người dùng.

Kẻ tấn công đã tận dụng flash loan, cùng với thao túng một loạt các giao dịch giữa Curve, Uniswap và Harvest, cho phép chúng rút hàng triệu đô la stablecoin từ các pool của Harvest.

Yearn.finance nhanh chóng sửa chữa “vector tấn công” tương tự như một vector được sử dụng trên giao thức 1 tỷ đô la Harvest

Các báo cáo chỉ ra rằng kẻ tấn công đã có thể tiếp tục và rút gần 1 tỷ đô la stablecoin và tiền gửi Bitcoin được mã hóa trong giao thức, nhưng hắn đã chọn không làm như vậy vì một lý do không giải thích được.

Cuộc tấn công này đã làm nổi bật cách flash loan có thể được sử dụng để khai thác các lỗ hổng kinh tế trong các giao thức DeFi và thu về hàng triệu đô la.

Không rõ liệu anh ta có được truyền cảm hứng bởi cuộc tấn công Harvest Finance hay không, một nhà nghiên cứu bảo mật trong không gian đã tìm thấy một lỗ hổng kinh tế tương tự trong Yearn.finance. May mắn thay, thay vì khai thác lỗ hổng này, anh ấy đã báo cáo nó với nhóm Yearn.finance.

Các nhà phát triển của Yearn.finance nhanh chóng sửa chữa lỗ hổng

Theo báo cáo của nhà phát triển Yearn.finance Artem “Banteg” K, vào ngày 29/10, nhóm đằng sau giao thức đã được nhà nghiên cứu bảo mật Wen-Ding Li liên hệ thông qua các kênh tiết lộ bảo mật cần thiết.

Wen-Ding Li đã mô tả một vectơ tấn công tiềm ẩn của một cuộc tấn công flash loan có thể diễn ra trên TUSD Vault của Yearn.finance. Sản phẩm cốt lõi của Yearn.finance là Vault, vận hành các chiến lược tự động mang lại lợi nhuận canh tác với token được ký gửi trong mỗi Vault.

“Sau khi thiết lập liên lạc, Wen-Ding tiết lộ rằng anh ta có bằng chứng ban đầu về khái niệm tấn công flash loan có thể được gắn trên TUSD vault, dẫn đến thiệt hại 18% cho người dùng, với kẻ tấn công có thể bỏ đi với 650,000 TUSD”.

Theo lý thuyết, Vectơ tấn công tương tự như vụ tấn công Harvest, Yearn.finance Vault đã không tính toán đúng đến sự trượt giá trong Curve khi ký gửi và nhập, cho phép họ thao túng giá của stablecoin trên Curve để có lợi cho họ.

Như Banteg giải thích thêm:

“Tổng hợp lại, điều này có nghĩa là kẻ tấn công có thể phá vỡ nguồn cung DAI trong pool của Curve và kiếm lợi nhuận từ sự mất cân bằng gây ra”.

May mắn thay, việc khai thác đã nhanh chóng được vá và Vault không còn dễ bị tấn công.

Về mặt chủ đích, các Vault của Yearn.finance cho DAI và GUSD dễ bị tấn công bởi cùng một phương tiện tấn công nhưng các biện pháp thích hợp đã được áp dụng để tránh điều này xảy ra.

Vector tấn công này xuất hiện ngay sau khi một vector khác được vá. Được thông báo vào cuối tháng 9, các nhà phát triển đã vá một “lỗ hổng bảo mật mà có thể khiến tiền tại các vault của yDAI, yTUSD và yUSD gặp rủi ro“.

Ông Giáo

Theo Cryptoslate

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Trong thế giới crypto đầy biến động, các tín hiệu kỹ thuật đóng vai trò quan trọng trong việc dự báo xu hướng giá. Và mới đây, nhà phân tích nổi tiếng Ali Martinez đã chỉ ra một tín hiệu đáng chú ý trên biểu đồ dài hạn của Dogecoin... ...

Stellar (XLM) tiếp tục thăng hoa, tăng gần 5% vào thời điểm viết bài ngày thứ Sáu, nối dài đà bứt phá ấn tượng 10% từ phiên giao dịch trước đó. Đà tăng mạnh mẽ của token thanh toán xuyên biên giới này được thúc đẩy bởi diễn biến tích... ...

Sau một thời gian im ắng, thị trường altcoin đang cho thấy những dấu hiệu phục hồi rõ rệt khi hàng loạt đồng tiền lớn bắt đầu lấy lại đà tăng. Ethereum đang tiến sát mốc tâm lý quan trọng 4.000 USD – điều chưa từng thấy kể từ năm... ...

Kể từ khi thiết lập đỉnh lịch sử ở mức 122.054 USD vào ngày 14/7, Bitcoin đã rơi vào trạng thái giằng co giữa bên mua và bên bán, khiến giá dao động trong một biên độ hẹp. Trong tuần qua, Bitcoin liên tục gặp trở ngại tại ngưỡng kháng... ...

Ethereum (ETH) đang nỗ lực bứt phá qua ngưỡng kháng cự quan trọng sau cú phục hồi ấn tượng từ vùng đáy hồi tuần trước. Theo một số nhà phân tích, tiền điện tử này có thể đang tái hiện lại kịch bản bứt phá quen thuộc trong quá khứ... ...

Token ENA của Ethena tăng hơn 5% trong 24 giờ và 70% trong 3 tháng qua, được hỗ trợ bởi tín hiệu kỹ thuật tích cực và câu chuyện mới thu hút sự chú ý từ thị trường. Việc ra mắt stablecoin USDtb, với 90% tài sản được bảo chứng... ...

Bất chấp sự bất ổn của thị trường, Pudgy Penguins (PENGU) đang thu hút sự chú ý nhờ hiệu suất mạnh mẽ và ấn tượng. Tại thời điểm viết bài, memecoin này đã tăng 13%, dẫn đầu thị trường crypto và mở ra khả năng cho một đợt tăng giá... ...

SBI Holdings, một tập đoàn dịch vụ tài chính hàng đầu của Nhật Bản, đã chính thức bác bỏ các thông tin từ truyền thông cho rằng công ty đã nộp đơn xin thành lập quỹ hoán đổi danh mục (ETF) liên quan đến tiền điện tử. Vào thứ Tư,... ...

Việc các tổ chức tài chính truyền thống tham gia vào tài chính phi tập trung (DeFi) và token hóa tài sản vẫn còn rất hạn chế, bất chấp nhiều năm phát triển hạ tầng và những tiến triển gần đây về mặt pháp lý – theo báo cáo mới... ...

HBAR một lần nữa suy yếu và rơi xuống dưới ngưỡng Value Area High (VAH) tại $0,264 — mức được xác lập thông qua chỉ báo Fixed Range Volume Profile, dựa trên hành động giá từ đầu năm đến nay. Trong một phân tích trước đó, Tạp chí Bitcoin từng... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode