Унаслідок «помилкового сценарію» мультисиг-транзакції DeFi-протокол Yearn Finance втратив 63% казначейських коштів у пулі Lp yCRV.
Згідно з повідомленням, інцидент стався під час «звичайного процесу конвертації токенів комісій» і призвів до обміну 3 794 894 yCRV на 779 958 yvDAI. У коментарі для The Block команда уточнила, що втрати становили $1,4 млн.
Токен ліквідного стейкінгу yCRV презентує в пулі протоколу монету CRV від Curve. Проєкт вкладає в структуру кошти для підтримки ліквідності й отримує дохід у вигляді комісій.
Однак через збій у сценарії для обміну на DEX CoW Swap було відправлено всі кошти казначейства в одному з найбільших пулів протоколу. Угода викликала значне прослизання ціни, яким «скористалися арбітражники та інші учасники ринку».
«Враховуючи, що ці токени мають вирішальне значення для ліквідності yCRV Yearn, ми просимо всіх, хто отримав вигоду з цієї помилки, повернути суму, яку вони вважають розумною», — написала команда.
Розробники пояснили, що помилкове переведення всього балансу Yearn Finance у пулі було одним із 30 ордерів, які здійснюються через мультисиг-транзакцію. Це ускладнювало її ручний контроль, а скрипт обміну комісій «не мав достатніх перевірок виведення і містив логічну помилку» в обмеженні розміру свопу.
Для запобігання подібних інцидентів у Yearn Finance вжили низку запобіжних заходів, включно з:
- поділ фондів казначейства в пулі на контракти з окремими управителями;
- впровадження вихідних повідомлень у торгових скриптах, які зручніше читаються;
- посилення порогових значень впливу на ціну.
Нагадаємо, у квітні зловмисник вивів із протоколу криптоактиви на $11,6 млн через вразливість у контракті стейблкоїна yUSDT. Актив являє собою аналог «стабільної монети» від Tether.