Rapide comme l’éclair – yEarn.finance continue de se démarquer des autres protocoles DeFi. Il n’aura fallu que 24 minutes aux équipes du protocole pour corriger une faille fraîchement découverte.
24 minutes chrono
Dans la nuit du 24 au 25 septembre dernier, une faille a été découverte dans le protocole yEarn.finance.
Last night a vulnerability was discovered and patched within 24 minutes.
All funds are safe. No action is required by users.
We have published a detailed write-up here:https://t.co/mlSSuxPzrU
h/t @samczsun @AndreCronjeTech @lehnberg @bluekirbyfi
— banteg (@bantg) September 25, 2020
Des utilisateurs ont notifié les équipes de yEarn que certaines stratégies produisaient des rendements négatifs, un comportement qui ne devrait pas avoir lieu. Après quelques recherches, Andre Cronje, le fondateur de yEarn, a pu identifier un problème dans le keeper bot :
« Andre a identifié que le problème était lié au keeper bot, qui ne réalisait pas complètement les transactions comme prévu, en raison d’une limite de gas insuffisante. André a modifié les réglages du bot. Les transactions ont alors pu se conclure et le rendement est revenu à la normale. » – Rapport de la faille
Après avoir découvert la faille, les dépôts ont été mis en pause, le temps de la corriger. Au total, il aura fallu 24 minutes à Andre Cronje pour identifier et corriger la faille. Une efficacité qu’il manque à bien des projets DeFi.
En pratique, cette vulnérabilité aurait pu mettre en danger les fonds des coffres-forts yDAI, yTUSD et yUSD. Heureusement, celle-ci n’a pas été exploitée et l’ensemble des fonds sont en sécurité.
