No dia 4 de fevereiro o protocolo do Yearn.Finance sofreu um ataque exploit.
No total, o protocolo perdeu US$11 milhões de dólares, e o explorador que cometeu o ataque ficou com US$2,8 milhões de dólares.
Um ataque exploit é qualquer tipo de ataque a protocolos, redes, hardwares, ou sistemas operacionais onde são exploradas suas vulnerabilidades ou fragilidades.
No caso dos protocolos de finanças descentralizadas (DeFi), os ataques exploits tem utilizados fragilidades no sistema de empréstimos e bloqueio de Fundos, onde grandes volumes de Fundos são utilizados para realizar os ataques em protocolos com vulnerabilidades relativamente não testadas.
No caso do Yearn.Finance o cofre DAI de Fundos bloqueados em garantia foi explorado devido à fragilidade do protocolo YFI.
Assim como nos diversos casos de ataques exploit que ocorreram nos protocolos DeFi em 2020, o explorador utilizou empréstimos instantâneos ou “flash”, que são permitidos dentro da rede Ethereum (ETH) de DeFi.
Este tipo de empréstimo não necessita de garantia e são reembolsados imediatamente à sua solicitação.
Desta forma, o explorador ou invasor fez dois grandes empréstimos flash de 116.000 ETHs e de 99.000 ETHs através dos protocolos dYdX e AAVE.
No passo seguinte o invasor colocou estes ETHs como garantia pegando 134 milhões de unidades de USDC e 129 milhões de unidades de DAI.
Depois, depositou 134 milhões de unidades de USDC e 36 milhões de unidades de DAI no pool 3crv do protocolo Curve.
Em seguida retirou 165 milhões de unidades de USDT desse mesmo pool.
E não terminou por aí. Numa sequência de 5 ciclos seguidos de empréstimos, o invasor fez repetidamente os seguintes procedimentos:
Depósito de 93 milhões de unidades de DAI no cofre de 3crv; adição de 165 milhões de unidades de USDT ao pool 3crv; retirada de 92 milhões de unidades de DAI do cofre da yDAI; e a retirada final de 165 milhões de unidades de USDT do pool 3crv.
Com isto, o invasor retirou para seu lucro cerca de 39 milhões de unidades de DAI e 134 milhões de unidades de USDC.
Após os empréstimos compostos e empréstimos reembolsados, o flash striker ficou com um pecúlio residual de US$ 2,8 milhões de dólares.
Pra executar este processo complexo o invasor possuía muitos Fundos, o que possibilitou explorar as vulnerabilidades dos protocolos.
A tecnologia DeFi é incrível e cada vez mais aplicativos descentralizados (Dapps) estão surgindo.
Mas com isto, as vulnerabilidades são expostas e invasores podem se aproveitar deles para ataques coordenados que resultam em perdas imensas tanto para os protocolos quanto para os usuários.
