Разработчики DeFi-протокола yearn.finance узнали о новом векторе атаки при помощи мгновенных займов в блокчейне Ethereum и устранили возможные уязвимости в своей системе. О проблеме их уведомил исследователь проблем кибербезопасности Вэнь-Дин Ли.
Он объяснил, что атака может быть осуществлена через пул TUSD на платформе yearn.finance. Пользователи проекта вносят активы в пулы для автоматического использования в доходном фермерстве.
«Связавшись с нами, Вэнь-Дин сообщил, что у него имеется первичное доказательство концепции атаки при помощи мгновенных займов, которая может привести к убытку в 18% для пользователей и позволить злоумышленнику завладеть 650 000 TUSD», – пишут создатели yearn.finance.
Это вектор атаки схож с тем, который использовался для кражи активов клиентов DeFi-протокола Harvest Finance на прошлой неделе, поскольку механизмы обеих проектов не умели принимать в расчет отклонения курсов стейблкоинов при манипуляциях.
«В совокупности это означает, что организатор атаки мог повлиять на предложение DAI в y-пуле Curve и извлечь выгоду из возникшего дисбаланса», – пишут разработчики, добавляя, что им удалось своевременно устранить уязвимость.
