Dự án Yearn Finance bị tấn công, thiệt hại 10 triệu USD

Dự án Yearn Finance trên hệ thống tài chính phi tập trung Aave đã bị lấy cắp hơn 10 triệu USD từ tay tin tặc.

Cryptoday

13/04/2023

•

09:18

Cryptoday trên

Mới đây, dự án Yearn Finance đã bị tấn công flash loan (khoản vay nhanh) từ giao thức Aave. Công ty phân tích dữ liệu và bảo mật chuỗi khối Peckshield đã phát hiện giao dịch đáng ngờ trên Yearn Finance, ước tính thiệt hại hiện nay là hơn 10 triệu USD.

Nguyên nhân dẫn đến vụ hack, theo Aave là do Yearn (yUSDT) bị định cấu hình sai và tin tặc đã khai thác nó để đúc yUSDT với số lượng lớn (1.252.660.242.212.927,5) từ một USDT nhỏ 10K USD. Sau đó, yUSDT này đã được rút ra thông qua việc hoán đổi sang các đồng tiền ổn định khác. Số stablecoin bị mất mát bao gồm DAI, USDC, BUSD, TUSD, USDT.

Còn hacker mũ trắng có tài khoản Twitter là samczun cho rằng, phiên bản USDT của yUSDT đã để lộ một số lỗ hổng, kể từ những ngày đầu được triển khai phần mềm (khoảng hơn 1.000 ngày trước). Phiên bản USDT cấu hình sai địa chỉ hợp đồng thành Fulcrum (điểm tựa đòn bẩy) iUSDC, thay vì là iUSDT.

Dự án Yearn Finance — *Hacker mũ trắng chỉ ra lỗ hổng khiến Year Finance bị tấn công. Ảnh chụp màn hình.*

Theo trưởng nhóm tích hợp Aave, ông Marc Zeller, tác động với giao thức bị hạn chế do phiên bản 1 đã bị đóng kể từ tháng 12 năm ngoái. "Kích thước hiện tại của V1 là 18 triệu USD và kích thước hiện tại của mô-đun an toàn Aave là 382,50 triệu USD”, Zeller nói. Vụ tấn công không làm ảnh hưởng đến phiên bản 2 và 3 của Aave.

Yearn Finance là một dự án tài chính phi tập trung được thành lập vào tháng 7/2020. Giao thức Yearn Finance hoạt động trên Blockchain Ethereum, cung cấp các dịch vụ chỉ sử dụng token, xóa bỏ các nhu cầu từ một bên trung gian như ngân hàng hay bất cứ tổ chức giám sát nào.

YFI là token của Yearn Finance dựa trên tiêu chuẩn ERC-20, có khả năng tự động hóa và tính linh hoạt tối ưu hơn mọi token từng có trong mạng Blockchain. Có thời điểm, YFI tăng giá chạm định khoảng 44.000 USD.

Aave là giao thức vay và cho vay tiền điện tử chạy trên hệ sinh thái Ethereum. Aave cho phép người dùng gửi tiền điện tử làm tài sản thế chấp, với giới hạn ở mức 80% giá trị hiện tại. Quá trình vay trên Aave được tự động hóa bằng hợp đồng thông minh, dựa trên cách tính toán các điều khoản cho vay, thu thập tài sản thế chấp đã ký gửi và phân phối tiền điện tử. Cũng như Yearn Finance, các hợp đồng thông minh này hoạt động không cần đến bên trung gian thứ 3.

Tính năng flash loan của Aave cung cấp các khoản vay nhanh, giúp người dùng tận dụng sự chênh lệch giá trên các sàn giao dịch tiền điện tử khác nhau. Dịch vụ khoản vay nhanh giúp cho các nhà phát triển xây dựng hợp đồng thông minh, trao đổi và hoàn trả khoản vay trong cùng một giao dịch. Mỗi khoản vay trên Aave sẽ phải trả khoản phí 0,09%.

Điểm yếu của flash loan là việc khó khăn trong việc xây dựng các ứng dụng trên hợp đồng thông minh để lấy dữ liệu giá. Trong khi các ứng dụng cung cấp giao dịch hoán đổi mã thông báo đều phải biết tỷ giá hồi đoái hiện tại. Để thực hiện điều đó, người dùng cần tham chiếu qua Orcle, dịch vụ cung cấp dữ liệu và thông qua API để tiếp cận với hợp đồng thông minh.

Nhóm tin tặc thường lợi dụng điểm yếu này để tạo sự kết hợp giữa lập trình Solidity và các giao dịch thông minh nhằm thực hiện các cuộc tấn công vào flash loan.