Selon un divulgation par Yearn Finance, un vecteur d’attaque de prêt flash a été découvert récemment par un chercheur en sécurité, avant d’être résolu par l’équipe de sécurité de Yearn.

Une vulnérabilité potentielle, atténuée environ une heure et demie après son signalement par Wen-Ding Li le 29 octobre 2020. Yearn semble vulnérable. Cependant, heureusement, les fonds sont restés en sécurité.

Une attaque de prêt flash

Le chercheur en sécurité ayant signalé l’attaque révèle avoir une première preuve de concept d’une attaque de prêt flash. En effet elle pourrait être montée sur le TUSD vault. Ainsi cela entraînera une perte de 18% pour les utilisateurs, l’attaquant pouvant repartir avec 650K TUSD.

Dans un effort d’atténuation, le coffre-fort TUSD a rapidement été configuré pour arrêter de déployer des fonds pour utiliser sa stratégie pendant que le problème était étudié et résolu.

Wen-Ding Li a également souligné que d’autres coffres utilisant la stratégie Curve (comme le DAI vault et le coffre-fort GUSD) seraient potentiellement vulnérables à la même attaque. Cependant, il a noté que ces coffres ont déjà un minimum de zéro et ne sont donc pas aussi vulnérables.