В новом DeFi-протоколе создателя yEarn.Finance обнаружили критическую уязвимость

Эксплойт, обнаруженный в смарт-контракте запущенного накануне DeFi-проекта yCredit, позволяет вывести все средства пользователей, заявил блокчейн-разработчик Нур Хариди. IMPORTANT The yCredit contract is vulnerable to an economic attack that can cause loss of all user funds. If you deposited into the contract using Etherscan or bought yCredit on Sushiswap, withdraw or sell it immediately. I’ll publish the exploit after all funds are withdrawn. — nour (@NourHaridy) January 1, 2021 Создатель yEarn.Finance Андре Кронье представил новый проект 31 декабря. Платформа yCredit позволяет депонировать токены стандарта ERC-20 и получать кредитные средства в монетах yCredit на 99,5% от внесенной суммы. Хариди назвал проект "суперамбициозным" и "раздвигающим границы эффективности использования капитала". Однако он призвал пользователей вывести все средства, поскольку вопрос времени, когда кто-то воспользуется обнаруженной им уязвимостью. Разработчик Иван Мартинес, с которым Хариди поделился открытием, подтвердил, что эксплойт работает. По словам Мартинеса, кто-то уже использовал другой вектор атаки на yCredit. Someone used a different attack vector on yCredit than what @NourHaridy discovered. https://t.co/cer3GtUzHp Makes you think, would an audit capture these? What if Andre puts just enough of his own funds to make exploiting attractive? Maybe its even cheaper/faster vs. an audit