На 13 април по-стара версия на протокола Yearn Finance беше хакната за 11,6 млн. долара поради уязвимост в USDT токена на Yearn – yUSDT.
Първоначалните доклади предполагаха, че Aave също е бил експлоатиран, но говорител на Aave заяви пред TCN, че той е бил използван само за размяна на масив от токени. Основателят на Aave Стани Кулечов също потвърди, че проектът не е бил пряко засегнат.
Aave е един от най-старите протоколи за отпускане и вземане на заеми DeFi, който позволява на потребителите да получават доходност за депозиране на различни криптовалути. Yearn Finance е друг популярен протокол на DeFi, който обединява различни възможности за доходност от целия пазар в една платформа.
Токенът yUSDT е токен за натрупване на доходност, който проследява баланса на стабилните монети USDT на потребителя, депозирани в договори Yearn.
„Беше неправилно конфигурирано да се използва токена iUSDC на Fulcrum вместо токена iUSDT на Fulcrum“, отбеляза изследователят на Paradigm, Самчсун. Fulcrum е платформа DeFi, която позволява на потребителите да заемат и дават назаем ETH и други токени ERC-20.
Изглежда, че токенът iearn USDT (yUSDT) е счупен от момента на внедряването му, което беше *проверява бележките* преди повече от 1000 дни. Той е бил неправилно конфигуриран да използва токена Fulcrum iUSDC вместо токена Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) 13 април 2023
Щетите са били ограничени, тъй като са били експлоатирани само по-старите версии на Yearn, потвърди един от старшите разработчици на проекта Storm Blessed 0x.
Запознати сме с проблем, който изглежда е изолиран за наследения протокол iearn, стартиран през 2020 г., и за пула за ликвидност.
Изглежда, че трезорите на Yearn v2 не са засегнати.
Участниците в Yearn провеждат разследване.
Ще последват допълнителни съобщения по основния акаунт. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) 13 април 2023 г.
Нападателите вече са започнали да изтеглят ETH чрез смесителя на Ethereum Tornado Cash, като вече са изтеглени 1000 ETH на стойност около 1,9 милиона долара, според PeckShield.
Подобни атаки са станали често срещани в сектора на DeFi.
През март Euler Finance, друг протокол за отпускане и вземане на заеми, беше експлоатиран за близо 200 млн. долара в различни криптовалути. Малко след това Sushiswap, децентрализиран криптообмен, беше хакнат за 3,3 млн. долара.
Екипът на Euler успешно договори връщането на по-голямата част от средствата, а SushiSwap също така разгърна план за възстановяване за засегнатите потребители.