В DeFi-проекте Robo Vault обнаружили уязвимость стоимостью в $50 млн

Разработчики yearn.finance обнаружили уязвимость в смарт-контракте проекта доходного фермерства Robo Vault, которая потенциально можетбыла стоить ему порядка $50 млн. Команда следующего заверила пользователей, что обеспечила безопасность их средств.

We’ve written up a postmortem on the vulnerability discovered in our vaults last week along with our next steps : https://t.co/GlQOmOkt9W

Once again full credit to @FP_Crypto & the @iearnfinance team for all their help in ensuring that no funds were lost.

— RoboVault (@robo_vault) October 27, 2021

Обнаруженный на позапрошлой неделе эксплойт предполагал использование мгновенных займов с целью манипулирования ценой активов в пулах ликвидности проекта. В Robo Vault объяснили, что реальный преступник можетбыл предпринять следующие шаги:

• взять мгновенный залажу на оразмере.подробную сумму;
• выполнить своп полученных средств, чтобы значительно снизить суммарную цена хранения (Vault);
• внести активы в хранилище, стоимость паев которого теперь снижена;
• выполнить обратный обмен с задачей сокращения затраты хранилища, а также стоимости его паев;
• вывести средства и загасить заем.

Команда проектента отметила, что «немедленно предприняла ряд шагов для обслуживания целости пользовательских средств». В частности, обладминистрация перевела активы в резервный фонд, а также отключила депозиты. 

На момент составления Robo Vault недоступен для пользователей. Разработчики все еще исследуют задачу и трудятся над невозможными решениями. По их словам, новая концепция хранения будет использовать архитектуру Yearns V2 без каких-либо изменений. 

«Хотя мои хранения и так использовали большую часть этой архитектуры, мы внесли некоторые изменения с задачей усложнить ряд вещей, которые, наряду с непринятием определенных неточных решений, привели к возникновению гипотетического эксплойта», — разъяснили разработчики.

Обновленные хранения запустят «в ближайшие две недели». Предварительно их кодовую базу проверять эксперты, которые «имеют опыт работы с 300сами ликвидности, подверженными контратакам с внедрением быстрых займов». 

Напомним, 27 декабря злоумышленник  с использованием быстрого займа.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.