DeFi-протокол Value подвергся атаке хакеров, которые украли средства на сумму $ 6 млн, воспользовавшись программной уязвимостью флэш-кредита.
Примерно в 10:45 утра по восточному времени пользователь взял флэш-кредит в размере 80 000 ETH (более $ 36 млн) из протокола кредитования Aave. Разработчик Aave Эмилио Франжелла сразу обратил на это внимание:
Флэш-кредит на 80.000 eth на @Aave
80.000 eth flashloan on @AaveAave ?? https://t.co/ngnHIoNKpi
— Emilio Frangella (@The3D_) November 14, 2020
Затем злоумышленник использовал эти средства для проведения арбитражной атаки с использованием флэш-кредитов, нацеленной на хранилище стейблкоинов Value. Далее он поместил средства в хранилище, провёл арбитражную сделку между DAI и USDC и на выходе получил многомиллионную прибыль.
В 11:05 в сообществе Discord появилось сообщение о признании факта хакерской атаки:
Мы в курсе текущей ситуации с хранилищем MultiStables. Пожалуйста, дайте нам немного времени, чтобы всё проверить. Все остальные хранилища и пулы работают нормально.
Вскоре после атаки злоумышленник осуществил транзакцию Ethereum, как бы насмехаясь над протоколом DeFi Value в сообщении, отправленном на адрес разработчика протокола:
Вы действительно знаете про флэш-кредит?
За отправку сообщения злоумышленник заплатил $ 0,31 в ETH из своей нечестно полученной прибыли.
В 12:12 команда протокола сообщила в Твиттере о подготовке анализа и разбора атаки, которая, по словам разработчиков, привела к потере $ 6 млн:
Хранилище MultiStables подверглось сложной атаке, чистый убыток от которой составил $ 6 млн. https://bloxy.info/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a В настоящее время мы разбираемся в схеме атаки и изучаем способы смягчения её последствий для наших пользователей.
The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.— Value DeFi Protocol (@value_defi) November 14, 2020
После атаки стоимость токена $VALUE упала более чем на 25% — с $ 2,73 до $ 2,01 на момент публикации.
Эта атака не единственная за всю эту тревожную для пространства DeFi неделю, совсем недавно был совершён взлом протокола Akropolis. В своём твите Стани Кулечов из Aave сообщил, что данная эксплуатация программной уязвимости является признаком расширения векторов атаки:
Создание устойчивой DeFi-сферы становится трудным занятием.
Между тем, некоторые эксперты полагают, что команды проектов децентрализованных финансов, напротив, начнут работать добросовестно и исключат кражи средств пользователей.

Виктор блоггер, философ, творческая личность, автор новостей о криптовалютах и блокчейн-технологиях. В команде с октября 2019 года. Переводчик с английского и немецкого.