Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 021Attaque par flash loan

Manipulation Curve du coffre yDAI Yearn

Le coffre yDAI de Yearn a perdu 11 M$ (gain net 2,8 M$) : une séquence flash-loan de 11 tx a biaisé le prix DAI du Curve 3pool. Tether a gelé 1,7 M$.

Date
Victime
Yearn Finance
Chaîne(s)
Ethereum
Statut
Partiellement récupéré

Le 4 février 2021, le coffre yDAI de Yearn Finance a subi un exploit flash-loan de 11 transactions. Le coffre a perdu environ 11 millions de dollars ; l'attaquant a netté environ 2,8 millions de dollars de profit, l'essentiel de la différence étant détruit en slippage et gaz. Tether a gelé 1,7 M$ de l'USDT volé, atténuant une partie de la perte.

Ce qui s'est passé

Le coffre yDAI de Yearn déployait le DAI des utilisateurs dans le Curve 3pool (DAI/USDC/USDT) pour gagner du rendement. Les opérations de dépôt et retrait du coffre tarifaient l'entrée et la sortie du 3pool basé sur les taux de change internes actuels du pool — des taux que quiconque avec assez de capital pouvait temporairement déformer.

L'attaque était une séquence élaborée de 11 transactions :

  1. Emprunt flash de 116 000 ETH chez dYdX et 99 000 ETH chez Aave v2.
  2. Utilisation de l'ETH comme collatéral pour emprunter 134M USDC et 129M DAI à Compound.
  3. Dépôt de gros montants dans le Curve 3pool pour manipuler le taux de change DAI dans le pool.
  4. Déclenchement du coffre yDAI Yearn pour déposer dans / retirer du 3pool aux taux manipulés et défavorables.
  5. Chaque cycle extrayait une tranche de valeur du coffre via le déséquilibre de taux.
  6. Remboursement de tous les flash loans, partant avec 513 000 DAI + 1,7 M$ USDT + jetons CRV2,8 M$ net.

Les ~8 M$ restants des 11 M$ de perte du coffre n'ont pas été capturés par l'attaquant — ils ont été détruits en slippage du 3pool et le coût de la manipulation elle-même, une caractéristique récurrente des attaques d'oracle financées par flash loan où la perte totale du protocole excède la prise de l'attaquant.

Conséquences

  • Yearn a patché la stratégie de coffre pour réduire la surface de manipulation exploitable en quelques heures.
  • Tether a gelé 1,7 M$ USDT que l'attaquant avait extraits, les récupérant pour les utilisateurs affectés.
  • Yearn s'est engagé à rendre le coffre entier via les revenus du protocole et l'allocation du trésor.
  • Les produits restants de l'attaquant ont été blanchis.

Pourquoi c'est important

L'incident yDAI de Yearn est l'un des cas fondateurs de manipulation d'oracle par flash loan de l'ère DeFi 2021 — assez tôt pour que la leçon structurelle qu'il enseignait soit toujours en cours d'apprentissage à travers l'écosystème :

Tout coffre qui tarifie les dépôts/retraits contre le taux de change instantané d'un pool manipulable est exploitable par quiconque peut bouger ce pool dans la même transaction.

Le pattern a récidivé à travers 2021-2026 chez Harvest Finance, Cream Finance, Belt Finance, et des dizaines d'autres. La réponse défensive — lire les prix depuis des oracles pondérés dans le temps ou des feeds externes, jamais depuis le taux spot d'un pool que l'attaquant peut toucher — a été articulée clairement après exactement ces incidents.

Le ratio perte de 11 M$ / profit d'attaquant de 2,8 M$ est aussi instructif : environ 75 % des dommages économiques ont été détruits, pas volés. C'est une caractéristique récurrente des attaques d'oracle par flash loan et signifie que les chiffres de gros titre « montant volé » sous-estiment constamment le vrai coût pour le protocole.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2021/02/04/yearn-finance-dai-vault-has-suffered-an-exploit-11m-drained
  2. [02]slowmist.medium.comhttps://slowmist.medium.com/slowmist-an-analysis-of-the-attack-on-rari-31bbca767ec2
  3. [03]decrypt.cohttps://decrypt.co/56659/14-million-gone-in-yearn-finance-exploit

Dépôts liés