Хакеры украли $6 млн у протокола Value DeFi

В субботу, 14 ноября, одно из хранилищ протокола для доходного фермерства Value DeFi подверглось хакерской атаке, в результате которой проект потерял 6 млн долларов пользовательских средств. Двумя днями ранее жертвой взломщиков стал протокол Akropolis. Хакеры воспользовались технологией флэш-кредита, уже неоднократно отработанной на других DeFi-протоколах. Команда Value DeFi сообщила об инциденте в своем твиттере. Команда пообещала разобраться в произошедшем и написать подробный отчет по результатам расследования. На момент написания статьи дополнительной информации не появилось.

The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.

— Value DeFi Protocol (@value_defi) November 14, 2020

Как все было

Примерно в 10:45 утра по восточному времени (18.45 мск) неизвестный пользователь взял флэш кредит на сумму 80 000 ETH (более $36 млн) через Aave, при этом разработчик протокола Эмилио Франжела тут же обратил внимание на подозрительную транзакцию. Затем хакер привлек еще $116 млн в токенах DAI через флэш-кредиты на Uniswap. По словам сооснователя DeFi Italy Эмилиано Боасси, называющего себя белым хакером, взломщик перевел взятые в кредит ETH в стейблкоины, а часть DAI, полученных на Uniswap, отправил в хранилище Value DeFi. Затем он провел серию обменом между USDT, USDC и DAI и вывел деньги из протокола, воспользовавшись уязвимостью в методологии ценообразования. Прежде чем скрыться с деньгами, хакер решил вернуть разработчикам $2 млн долларов. Все перемещения средств можно посмотреть через Etherscan. Примерно такую же технологию использовали хакеры, укравшие около 23 млн долларов из протокола Harvest Finance в конце октября. Однако, по словам Бонасси, Value DeFi подвергся концептуально более сложной атаке.

«Это одна из самых сложных схем, которые мне доводилось видеть. Хакеры использовали ДВА ФЛЭШ-КРЕДИТА с двух разных протоколов (80 тыс. ETH на Aave и 116 млн DAI на Uniswap».

О самых громких скандалах сегмента децентрализованных финансов из нашей статьи.

Злая шутка

За два дня до взлома команда Value DeFi хвасталась в своем твиттере о том, что их хранилище с поддержкой нескольких стейблкоинов максимально защищено от атаки через флэш-кредит и представляет собой самую продвинутую технологию во всей DeFi-индустрии. Впоследствии разработчики удалили этот твит, но некоторые участники криптосообщества все же успели сделать скрин.

Токен $VALUE рухнул на 25%

На момент написания статьи управляющий токен Value DeFi торгуется на уровне $2. За несколько часов актив подешевел более чем на 25%. По данным, представленным на веб-сайте протокола во взломанном хранилище все еще заблокированы токены на сумму свыше 3 млн долларов.