Хакерам удалось украсть 2,8 миллиона долларов из общего пула DeFi-проекта Yearn.finance.
Представители Yearn.finance (YiFi) заявили, что взлом произошел из-за ошибки в пуле v1 yDAI. Команда DeFi-проекта уже исправила баг, но временно отключила депозиты в DAI, TUSD, USDC и USDT.
Преступники использовали платформы Aave и dYdX, которые позволяют выдавать «быстрые ссуды», заимствовать и возвращать деньги без необходимости залога.
Хакеры провернули сложную схему займов в одиннадцать транзакций.
Сначала они взяли кредит на Aave на 99 000 ETH и 116 000 ETH на dYdX. Эти ЕТН были использованы в качестве залога, чтобы занять 134 млн USDC и 129 млн DAI через Compound. Заемные средства они поместили в пул 3crv Curve.
Затем хакеры пять раз повторили следующую схему добавления-вывода средств:
- внесли 93 млн DAI в хранилище yDAI;
- добавили 165 млн USDT в пул 3crv;
- вывели 92 млн DAI из хранилища yDAI;
- вывели 165 млн USDT из пула 3crv.
В общем, в результате махинаций мошенники заработали около $3 миллионов.
