Starší verze protokolu Yearn Finance byla 13. dubna hacknuta za 11,6 milionu dolarů kvůli zranitelnosti tokenu Yearn USDT, yUSDT.
Původní zprávy naznačovaly, že zneužit byl také Aave, ale mluvčí Aave řekl TCN, že byl použit pouze k výměně řady tokenů. Zakladatel Aave Stani Kulechov také potvrdil, že projekt nebyl přímo zasažen.
Aave je jedním z nejstarších protokolů pro půjčování a výpůjčky DeFi, který umožňuje uživatelům získávat výnosy za ukládání různých kryptoměn. Yearn Finance je další oblíbený protokol DeFi, který sdružuje různé výnosové příležitosti z celého trhu do jediné platformy.
Token yUSDT je výnosový token, který sleduje zůstatek USDT stablecoinů uživatele uložených v kontraktech Yearn.
„Bylo chybně nastaveno použití tokenu iUSDC společnosti Fulcrum namísto tokenu iUSDT společnosti Fulcrum,“ poznamenal Samczsun, výzkumník společnosti Paradigm. Fulcrum je platforma DeFi, která umožňuje uživatelům půjčovat a půjčovat ETH a další tokeny ERC-20.
Vypadá to, že iearn USDT token (yUSDT) je nefunkční od deploymentu, což bylo *kontroluje poznámky* před více než 1000 dny. Byl špatně nastaven tak, aby používal token Fulcrum iUSDC místo tokenu Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) 13. dubna 2023
Škody byly omezené, protože zneužity byly pouze starší verze Yearn, potvrdil jeden z vedoucích vývojářů projektu Storm Blessed 0x.
Víme o problému, který se zdá být izolovaný pro starší protokol iearn spuštěný v roce 2020 a liquidity pool.
Zdá se, že trezory Yearn v2 nejsou ovlivněny.
Přispěvatelé společnosti Yearn provádějí šetření.
Další komunikace budou následovat na hlavním účtu. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) 13. dubna 2023
Útočníci již začali vybírat ETH prostřednictvím směšovače Ethereum Tornado Cash, přičemž podle PeckShield již bylo vybráno 1 000 ETH v hodnotě přibližně 1,9 milionu dolarů.
Podobné útoky se v sektoru DeFi staly běžnou záležitostí.
V březnu byl zneužit další protokol pro půjčování a výpůjčky Euler Finance, který napříč různými kryptoměnami vynesl téměř 200 milionů dolarů. Krátce poté byl hacknut Sushiswap, decentralizovaná kryptoměnová burza, za 3,3 milionu dolarů.
Tým Euler úspěšně vyjednal navrácení většiny prostředků a SushiSwap také zavedl plán obnovy pro postižené uživatele.