Разработчики yearn.finance обнаружили уязвимость в DeFi-проекте Robo Vault

Разработчики yearn.finance обнаружили уязвимость в смарт-контракте проекта доходного фермерства Robo Vault, которая потенциально могла стоить ему порядка $50 млн. Команда последнего заверила пользователей, что обеспечила безопасность их средств. We've written up a postmortem on the vulnerability discovered in our vaults last week along with our next steps : https://t.co/GlQOmOkt9W Once again full credit to @FP_Crypto & the @iearnfinance team for all their help in ensuring that no funds were lost. — RoboVault (@robo_vault) October 27, 2021 Обнаруженный на прошлой неделе эксплойт предполагал использование мгновенных займов с целью манипулирования стоимостью активов в пулах ликвидности проекта.

В Robo Vault объяснили, что потенциальный злоумышленник мог предпринять следующие шаги: взять мгновенный заем на крупную сумму; выполнить своп полученных средств, чтобы значительно снизить совокупную стоимость хранилища (Vault); внести активы в хранилище, цена паев которого теперь снижена; выполнить обратный обмен с целью увеличения стоимости хранилища, а также цены его паев; вывести средства и погасить заем. Команда проекта отметила, что «немедленно предприняла ряд шагов для обеспечения сохранности пользовательских средств». В частности, администрация перевела активы в резервный фонд, а также отключила депозиты.  На момент написания Robo Valut недоступен для пользователей. Разработчики все еще изучают проблему и работают над возможными решениями. По их словам, новая версия хранилища будет использовать архитектуру Yearns V2 без каких-либо изменений.  «Хотя наши хранилища и так использовали большую часть этой архитектуры, мы внесли некоторые изменения с целью упростить ряд вещей, которые, наряду с принятием определенных неверных решений, привели к появлению потенциального эксплойта», — объяснили разработчики. Обновленные хранилища запустят «в ближайшие две недели». Предварительно их кодовую базу проверять эксперты, которые «имеют опыт работы с пулами ликвидности, подверженными атакам с использованием мгновенных займов».   Напомним, 27 октября злоумышленник вывел из пулов DeFi-протокола Cream Finance $130 млн с использованием мгновенного займа.