Злоумышленники воспользовались стандартной схемой флэш-кредитов, чтобы вывести из протокола децентрализованных финансов Value DeFi $6 млн долларов
В субботу, 14 ноября, одно из хранилищ протокола для доходного фермерства Value DeFi подверглось хакерской атаке, в результате которой проект потерял 6 млн долларов пользовательских средств. Двумя днями ранее жертвой взломщиков стал протокол Akropolis.
SponsoredХакеры воспользовались технологией флэш-кредита, уже неоднократно отработанной на других DeFi-протоколах. Команда Value DeFi сообщила об инциденте в своем твиттере. Команда пообещала разобраться в произошедшем и написать подробный отчет по результатам расследования. На момент написания статьи дополнительной информации не появилось.
The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.— Value DeFi (@value_defi) November 14, 2020
Как все было
Примерно в 10:45 утра по восточному времени (18.45 мск) неизвестный пользователь взял флэш кредит на сумму 80 000 ETH (более $36 млн) через Aave, при этом разработчик протокола Эмилио Франжела тут же обратил внимание на подозрительную транзакцию.
Затем хакер привлек еще $116 млн в токенах DAI через флэш-кредиты на Uniswap.
По словам сооснователя DeFi Italy Эмилиано Боасси, называющего себя белым хакером, взломщик перевел взятые в кредит ETH в стейблкоины, а часть DAI, полученных на Uniswap, отправил в хранилище Value DeFi. Затем он провел серию обменом между USDT, USDC и DAI и вывел деньги из протокола, воспользовавшись уязвимостью в методологии ценообразования.
SponsoredПрежде чем скрыться с деньгами, хакер решил вернуть разработчикам $2 млн долларов. Все перемещения средств можно посмотреть через Etherscan.
Примерно такую же технологию использовали хакеры, укравшие около 23 млн долларов из протокола Harvest Finance в конце октября. Однако, по словам Бонасси, Value DeFi подвергся концептуально более сложной атаке.
«Это одна из самых сложных схем, которые мне доводилось видеть. Хакеры использовали ДВА ФЛЭШ-КРЕДИТА с двух разных протоколов (80 тыс. ETH на Aave и 116 млн DAI на Uniswap».
О самых громких скандалах сегмента децентрализованных финансов из нашей статьи.
Злая шутка
За два дня до взлома команда Value DeFi хвасталась в своем твиттере о том, что их хранилище с поддержкой нескольких стейблкоинов максимально защищено от атаки через флэш-кредит и представляет собой самую продвинутую технологию во всей DeFi-индустрии. Впоследствии разработчики удалили этот твит, но некоторые участники криптосообщества все же успели сделать скрин.
Токен $VALUE рухнул на 25%
На момент написания статьи управляющий токен Value DeFi торгуется на уровне $2. За несколько часов актив подешевел более чем на 25%. По данным, представленным на веб-сайте протокола во взломанном хранилище все еще заблокированы токены на сумму свыше 3 млн долларов.
