Белый хакер помог DeFi-протоколу Yearn.Finance исправить уязвимость

Основной разработчик экосистемы DeFi Yearn.Finance (YFI) Бантег (@bantg) сообщил подробности гипотетической атаки на элементы своего протокола, которые раскрыл так называемый белый хакер.

Ещё 30 января 2022 года специалист описал сценарий атаки на SingleSidedBalancer, элемент инструментария доходного фермерства Yearn.Finance.

Yearn выплатил вознаграждение в размере $ 200 000 белому хакеру, оповестившему об уязвимости через @immunefi.

 

Прочтите сообщение об уязвимости
https://github.com/yearn/yearn-security/blob/master/disclosures/2022-01-30.md…

 

Узнайте о нашей программе вознаграждений за безопасность
https://immunefi.com/bounty/yearnfinance/

Yearn has paid a $200,000 bounty to a whitehat who has responsibly disclosed a vulnerability via @immunefi.

Read the vulnerability disclosurehttps://t.co/5rTpkCg7IJ

Learn about our security bounty programhttps://t.co/F3VAdJzyeX

— banteg (@bantg) February 11, 2022

Инструмент SingleSidedBalancer strategy (или SSB) предназначен для того, чтобы позволить энтузиастам DeFi заниматься доходным фермерством нативной валюты Balancer BAL, обеспечивая ликвидность одного актива. SSB активны на блокчейнах Ethereum (ETH) и Fantom (FTM).

Схема атаки позволяла хакерам сбалансировать пул Balancer и получить USDT по завышенной цене. Благодаря серии флэш-кредитов в USDC и DAI злоумышленник может истощить пул ликвидности Yearn.Finance на сумму, эквивалентную $ 41 млн.

Согласно объяснению Yearn.Finance в репозитории на GitHub, уязвимость была устранена за 25 минут, а все элементы, которые можно использовать, отключены. Теперь средства в безопасности.