В DeFi-проекте Robo Vault обнаружили уязвимость стоимостью в $50 млн

Разработчики yearn.finance обнаружили уязвимость в смарт-контракте проекта доходного фермерства Robo Vault, которая потенциально могла стоить ему порядка $50 млн. Команда последнего заверила пользователей, что обеспечила безопасность их средств.

Обнаруженный на прошлой неделе эксплойт предполагал использование мгновенных займов с целью манипулирования стоимостью активов в пулах ликвидности проекта. В Robo Vault объяснили, что потенциальный злоумышленник мог предпринять следующие шаги:

взять мгновенный заем на крупную сумму;



выполнить своп полученных средств, чтобы значительно снизить совокупную стоимость хранилища (Vault);



внести активы в хранилище, цена паев которого теперь снижена;



выполнить обратный обмен с целью увеличения стоимости хранилища, а также цены его паев;



вывести средства и погасить заем.

Команда проекта отметила, что «немедленно предприняла ряд шагов для обеспечения сохранности пользовательских средств». В частности, администрация перевела активы в резервный фонд, а также отключила депозиты. 

На момент написания Robo Vault недоступен для пользователей. Разработчики все еще изучают проблему и работают над возможными решениями. По их словам, новая версия хранилища будет использовать архитектуру Yearns V2 без каких-либо изменений. 

Обновленные хранилища запустят «в ближайшие две недели». Предварительно их кодовую базу проверять эксперты, которые «имеют опыт работы с пулами ликвидности, подверженными атакам с использованием мгновенных займов». 

Напомним, 27 октября злоумышленник вывел из пулов DeFi-протокола Ceam Finance $130 млн с использованием мгновенного займа.

Источник: cryptocurrency.tech