sulle cripto
Tutto è iniziato con un paio di retweet. Il 28 settembre, Andrew Cronje, il capo di Yearn Finance, ha ritwittato i progetti grafici per un nuovo lavoro chiamato Eminence, descritto da Cronje come un protocollo DeFi per un “multiverso di gioco”. Il gioco è presumibilmente uno spin-off di un gioco di carte collezionabili kickstarter del 2016 chiamato Eminence: Xander’s Tales e potrebbe incorporare token non fungibili (NFT).
Un enorme malinteso
I retweet includevano grafiche sulle parole “Spartan” e “Marine” (accenni ai rispettivi moniker dati alle fan-base di Synthetix e Chainlink) ed erano un “teaser artistico” inteso a “mostrare tutti i diversi clan nel gioco”, secondo Cronje.
Egli ha inviato il tweet ed è andato a dormire. Quando si è svegliato, ha scoperto che il tweet era stato giudicato apparentemente un segnale sufficiente dagli utenti DeFi per scaricare 15 milioni $ di DAI nel vecchio protocollo che, mentre era sulla mainnet di Ethereum (qui la quotazione in tempo reale), era ancora in fase di alpha test.
La stessa notte, un utente ha sfruttato il codice di Eminence e ha prosciugato i 15 milioni di dollari. Quindi, lo stesso aggressore ha restituito circa 8 milioni $ in DAI a uno smart contract Yearn controllato da Cronje. Nemmeno 72 ore dopo l’exploit, agli utenti interessati è stata restituita una parte delle loro perdite.
L’”hack” Eminence spiegato
L’exploit, che non era nemmeno un hack, era abbastanza semplice. I token EMN, generati dallo smart contract Yearn Deploy, sono stati distribuiti inizialmente attraverso una bonding curve, un nuovo schema di distribuzione dei token utilizzato da una manciata di prodotti DeFi.
Queste bonding curve sono smart contract che “scambiano” token con gli utenti finali, erogandone uno in cambio di un altro. Per Eminence, gli utenti depositano DAI nello smart contract e ricevono EMN in cambio.
Per sfruttare questi contratti, l’hacker ha ottenuto un prestito flash per 15 milioni di DAI da Uniswap. Un attacco simile utilizzando un prestito flash è stato eseguito contro il protocollo bZx a febbraio.
La risposta di Yearn Finance e la ridistribuzione dei token
Sorprendentemente dopo tutto questo, l’hacker ha avuto un ripensamento: ha trasferito 8 milioni $ in DAI a un contratto Yearn Finance, che Cronje ha prontamente inviato a un multi-sig. Uno sviluppatore di Yearn ha poi escogitato un modo per ridistribuire questi fondi ai legittimi proprietari.
Andando oltre al comportamento dell’hacker, il furto è stato aggravato da due forze trainanti: la fiducia e l’avidità. Nei suoi tweet, Cronje non ha mai detto che il protocollo Eminence fosse pronto. Non ha nemmeno menzionato a cosa servisse il protocollo.
Ma un singolo retweet dal ragazzo dietro Yearn – un unicorno DeFi che è salito da 31 $ a oltre 43.000 $ quest’anno – è stato sufficiente per i trader per fare scorta di token Eminence. Cronje ha dichiarato su Twitter di voler continuare il suo lavoro su Eminence, aggiungendo che ha circa 100 contratti da testare. Ha anche ammonito i fan della DeFi di “aspettare gli annunci ufficiali” prima di utilizzarli.
