Дегени DeFi, які сильно постраждали від експлойту Eminence, отримають часткову компенсацію

Все почалося з пари ретвітів.

28 вересня Ендрю Кроньє, керівник Yearn Фінанси, ретвітнув графічний дизайн для нового проекту під назвою Eminence, так описано від Cronje як протокол децентралізованого Фінанси (DeFi) для «ігрового мультивсесвіту». Гра є нібито побічний продукт колекційної карткової гри Kickstarter 2016 року під назвою Eminence: Xander’s Tales і може містити незамінні токени (NFT).

За словами Кроньє, ретвіти включали графічне оформлення слів «Spartan» і «Marine» (грайливі кивки на відповідні прізвиська, надані фан-базам Synthetix і Chainlink ) і являли собою «художній тизер», який мав на меті «продемонструвати всі різні клани в грі».

Кроньє натиснув «Надіслати» у твіті та пішов спати. Коли він прокинувся, він виявив, що твіт, очевидно, був достатнім сигналом для користувачів DeFi, щоб скинути DAI на суму 15 мільйонів доларів у старий протокол, який, перебуваючи в основній мережі Ethereum, все ще проходив альфа-тестування Кроньє та його командою. У Eminence навіть T було веб-сайту, який можна використовувати як інтерфейс для торгівлі; замість цього перші користувачі поміняли токени безпосередньо зі смарт-контрактами Eminence.

Тієї ж ночі ONE користувач скористався кодом Eminence і злив 15 мільйонів доларів. Потім той самий зловмисник повернув близько 8 мільйонів доларів DAI на смарт-контракт Yearn, контрольований Cronje.

Тепер, не минуло навіть 72 годин після експлойту, постраждалим користувачам повернуто частину втрат.

Поразка та подальша допомога не є першою у своєму роді в DeFi. І виникає запитання: чи Навчання спільнота DeFi на своїх помилках?

Пояснено «хак» Eminence

Сам експлойт, який навіть не був хаком, був досить простим.

Токени EMN, згенерований Yearn Deploy смарт-контракт, спочатку поширювалися за допомогою кривої зв’язування, нової схеми розподілу токенів, яка використовувалася кількома продуктами DeFi. Ці зв’язувальні криві є розумними контрактами, які «торгують» токенами з кінцевими користувачами, видаючи ONE в обмін на інший.

Для Eminence користувачі вносять DAI в смарт-контракт і отримують EMN натомість. Якщо EMN надсилається в смарт-контракт, він записується, а користувач натомість отримує DAI .

Ви також можете обміняти EMN на п’ять інших токенів (eAAVE, eLINK, eYFI, eSNX і eCRV, усі версії популярних токенів, загорнуті в Eminence, з однаковими тикерами). Це спалить депонований EMN. І навпаки, якщо ви внесете ці токени у відповідні контракти кривої облігацій, вони спалюються, і ви отримаєте щойно викарбуваний EMN.

Щоб скористатися цими контрактами, зловмисник взяв у Uniswap миттєву позику на 15 мільйонів DAI і використав її для покупки EMN. Потім він обміняв і спалив половину цього EMN на eAAVE, підвищивши ціну EMN. Звідси він обміняв решту свого EMN на DAI, обміняв свій eAAVE, щоб викарбувати більше EMN, а потім, нарешті, обміняв цей EMN на DAI.

Поки зловмисник робив ці кроки, хтось уже розгорнув EMN торгові пари на Uniswap.

Цей процес був повторюється три разів отримати хакеру 15 015 533 DAI. Аналогічна атака з використанням флеш-кредиту було виконано проти протоколу bZx у лютому.

Відповідь Yearn Finance і перерозподіл токенів

Дивно, але після всіх цих зусиль зловмисник трохи змінив думку: вони перерахували 8 мільйонів доларів DAI у контракт Yearn Фінанси , який Cronje негайно надіслав багатосторонній компанії Yearn.

Кілька розробників, ONE з яких працює над Yearn, придумав спосіб розповсюдження DAI користувачам, які постраждали від того, що ціна EMN обвалилася до мінімуму в результаті експлойту. Відшкодування, деноміновані DAI, тепер розподіляються серед користувачів, які торгують за EMN із контракту bonding curve і Uniswap.

«Отримання [токенів DAI ] здавалося, ніби ми отримали бомбу, що цокає», — сказав Бантег, розробник CORE Yearn, CoinDesk. Він додав, що команда швидко працювала над розподілом коштів, щоб постраждалі користувачі не хвилювалися.

Бантег вважає, що більшість постраждалих користувачів були «в курсі», оскільки половина відшкодування була витребувана протягом 19 хвилин після запуску контракту на розповсюдження. Лише $338 000 DAI ще не було заявлено, згідно з даними, наданими CoinDesk.

Не дивлячись на погану поведінку зловмисника, фіаско було посилене двома рушійними силами: довірою та жадібністю.

У своїх твітах Кроньє ніколи не повідомляв, що протокол Eminence готовий. Він навіть T згадав, для чого складається протокол. Але одного ретвіту від хлопця, який стоїть за Yearn – цього єдинорога DeFi, ціна якого цього року підскочила з $31 до понад $43 000 – було достатньо, щоб трейдери купили токен Eminence.

Бажаючи ще одного місячного знімка, безстрашні користувачі Eminence почали взаємодіяти з протоколом до того, як Cronje дав якийсь сигнал, що він готовий для інвесторів. Перед цим інцидентом він навіть написав у Твіттері застереження, що будь-кому, хто використовує його протоколи, слід діяти обережно.

Відтоді Кроньє заявив у Twitter про свої наміри продовжувати роботу над Eminence, додавши, що у нього є приблизно 100 контрактів для перевірки. Він також попередив вірних DeFi «чекати офіційних повідомлень», перш ніж використовувати їх.

Тим не менш, деякі з постраждалих трейдерів, які втомилися від своїх втрат, T були готові звільнити Кроньє з гачка.

«Навіщо розміщувати незавершений код для тестування в основній мережі?» ONE користувач втрутився. «Контракт мав бути в тестовій мережі».

Інші, як-от Том Шонессі з Delphi Digital, захищав Кроньє, стверджуючи, що «це не [його] провина, що люди занурюються в [його] роботу, перш ніж вона буде закінчена».

Важко засвоїли уроки DeFi чи навряд чи засвоїли?

Дійсно, так звані дегени DeFi мають репутацію «мавпуючи» смарт-контракти в пошуках вигоди, перш ніж їх ретельно перевірять. Трейдери депонував кілька сотень мільйонів наприклад, у серпні в протокол Yield Farming Yam Фінанси , днів до помилки у своєму неперевіреному коді знизив ціну токена.

Нещодавно трейдери внесли стільки токенів у тоді неаудований контракт Sushiswap , що його обсяг перевищив Uniswap. Через кілька днів, Творець SushiSwap відмовився від частки свого розробника в SUSHI жетонів на 13 мільйонів доларів ETH, тільки щоб повернути суму в ETH до скарбниці Sushiswap після нападу провини.

Оскільки цей експлойт Eminence та сумарна реституція вже оприлюднені, трейдери DeFi мають ще одну причину з недовірою ставитися до неперевірених протоколів. Але враховуючи, що відплата дещо заспокоює їхні втрати, можливо, цей урок можна буде забути, коли з’явиться наступна «велика нова річ».