Yearn Finance 'mitiga rápidamente' el vector de ataque de préstamos relámpago
De acuerdo a una divulgar por Yearn Finance, un investigador de seguridad descubrió recientemente un vector de ataque de préstamos flash, antes de ser resuelto por el equipo de seguridad de Yearn.
Una vulnerabilidad potencial se mitigó alrededor de 1,5 horas después de haber sido informada por Wen-Ding Li mediante Yearn's proceso de divulgación de vulnerabilidades de seguridad el 29 de octubre de 2020. También se reveló que a través de dicha vulnerabilidad de préstamos flash, los fondos de la bóveda de TUSD podrían haber estado en riesgo. Sin embargo, afortunadamente, no se explotó y los fondos permanecieron seguros.
El investigador de seguridad que informó del ataque reveló que tenía una prueba inicial de concepto de un ataque de préstamo rápido que podría montarse en el TUSD bóveda y podría resultar en una pérdida del 18% para los usuarios, y el atacante podría retirarse con 650K TUSD.
En un esfuerzo hacia la mitigación, la bóveda de TUSD pronto se configuró para dejar de desplegar fondos para usar su estrategia mientras se investigaba y solucionaba el problema.
Wen-Ding Li también señaló que otras bóvedas que utilizan la estrategia Curve (como la DAI bóveda y la bóveda de GUSD) serían potencialmente vulnerables al mismo ataque. Sin embargo, notó que estas bóvedas ya tienen el mínimo establecido en cero y, por lo tanto, no son tan vulnerables.
La divulgación se produjo en un momento interesante para muchos en la comunidad, ya que se produjo poco después de la reciente incidente con Cosecha Finanzas. Dicho incidente también fue causado por un ataque Flash Loan, uno que deja a los protocolos indefensos ante las vulnerabilidades en su código.
No hacker Solo un simple * $ 24M (0x53f) jugoso arb on @finanzas_cosecha
Préstamo flash de $ 50 millones en USDC @UniswapProtocolo
Intercambiar $ 11M (USDC / USDT) @CurveFinanzas
~ 61 millones en fUSDT Vault
Swap $ 11M USDT / USDC yUSDT
Retirar $ 61M con $ 0.5M de ganancia
Repetir y limpiar en @TornadoCashhttps://t.co/nFTuyU3s6w pic.twitter.com/2oXQ2PsY32– Julien Bouteloup (@bneiluj) 26 de octubre de 2020
0. Se ha producido una explotación desafortunada en @finanzas_cosecha . Eché un vistazo al código y hubo un error de implementación y otro error de diseño.$ GRANJA #cosecha #explotar #loco @ChrisBlec @ Arturo_0x
– Pancake $ Bunny en #BSC (@PancakeBunnyFin) 26 de octubre de 2020
La mayoría de los desarrolladores que notan cualquier problema potencial en el código optarían por explotarlo, pero en este caso, la vulnerabilidad se informó y se solucionó rápidamente. Ergo, se puede decir que la mitigación exitosa del ataque de Yearn Finance ha destacado cómo los programas de recompensas para llamar la atención sobre errores como este son un éxito. Sin embargo, también hay una otra cara de la moneda, y el caso es otro recordatorio de lo vulnerables que son algunos de estos proyectos.
Esta es una traducción automática de nuestra versión en inglés.