YearnFinanceのエクスプロイト悪用が発覚
DeFiプラットフォームYearn.Financeは2月4日(木曜日)、資金プールの1つが悪用され、280万ドルの損失が発生した事を公式Twitterで明かした。
Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m
— banteg (@bantg) February 4, 2021
DeFiプラットフォームAaveの創設者であるスタニ・クレチョフ(Stani Kulechov)氏は、後に、多数のDeFiプロトコルと5,000ドル以上のETH建てガス料金を含む、エクスプロイトの中心にあるトランザクションをツイートし、次のように語っている。
160を超えるネストされたトランザクションと、8.6mmのガス(ブロックの約75%)を使用した複雑なエクスプロイト(※1)によって、2.7mmのUSD損失が発生しました
(※1)エクスプロイトとは、情報セキュリティの脆弱性を利用し、コンピュータを攻撃するための手段や標的を攻略することを指す
YearnFinanceはDAI融資プールの1つでエクスプロイトに苦しんでおり、午後5時14分YearnチームのET、bantegは、Discordに次のように投稿している。
攻撃者は2.8mで逃げ、daivaultは11.1mを失いました。
エクスプロイトに関連していると推定されるイーサリアムのアドレスによると、Aaveフラッシュローンがボールトのドレインをトリガーするために使用されているという。
Yearn Financeは、主要DeFiの1つであり、預金者が最初に預金したトークンですべての利回りを常に回収できることで知られている。プラットフォームは最近新しいボールトスイートに更新され、他のスマートコントラクトプラットフォームと同様に、以前のスマートコントラクトは存続した。
DeFi Pulse より画像引用
DeFi Pulseによると、Yearn Financeは現在5億ドル相当の資産を委託しており、バージョン1でも、プールの多くは20%をはるかに超える年間利回りを獲得している。
1月23日にYearnチームが公開したブログによると、攻撃されたボールトはYearnのv1 DAIボールトで、先月新しい投資戦略に更新されたものであるという。攻撃時のボールトの戦略は、すべての資金を自動マーケットメーカー(AMM)カーブの「3プール」に預けることで、Curveの3poolにはDAI、USDT、USDCが含まれているため、ユーザーは非常に低いスリップで任意のステーブルコインを別のステーブルコインと交換できるとのこと。
Coingekoより画像引用
YFIガバナンストークンの取引価格はニュースで急落し、わずかに反発しているものの、数分で34,700ドルから30,500ドルに急落している。
