Eine ältere Version des Yearn Finance-Protokolls wurde am 13. April aufgrund einer Sicherheitslücke im USDT-Token von Yearn, yUSDT, für 11,6 Millionen Dollar gehackt.
Anfängliche Berichte deuteten darauf hin, dass auch Aave ausgenutzt wurde, aber ein Sprecher von Aave sagte gegenüber TCN, dass es nur zum Tausch einer Reihe von Token verwendet wurde. Der Gründer von Aave, Stani Kulechov, bestätigte ebenfalls, dass das Projekt nicht direkt betroffen war:
Aave ist eines der ältesten Verleih- und Leihprotokolle von DeFi, bei dem Nutzer für die Hinterlegung verschiedener Kryptowährungen eine Rendite erzielen können. Yearn Finance ist ein weiteres beliebtes DeFi-Protokoll, das verschiedene Renditechancen auf dem Markt auf einer einzigen Plattform zusammenfasst.
Der yUSDT-Token ist ein Rendite-Token, der das USDT-Stablecoin-Guthaben eines Nutzers verfolgt, das in Yearn-Verträgen hinterlegt ist.
„Es war falsch konfiguriert, den iUSDC-Token von Fulcrum anstelle des iUSDT-Tokens von Fulcrum zu verwenden“, so der Paradigm-Forscher Samczsun. Fulcrum ist eine DeFi-Plattform, die es den Nutzern ermöglicht, ETH und andere ERC-20-Token zu leihen und zu verleihen.
Es scheint so, als ob der iearn USDT Token (yUSDT) seit dem Deployment kaputt ist, was *checks notes* vor über 1000 Tagen war. Es wurde falsch konfiguriert, um den Fulcrum iUSDC Token anstelle des Fulcrum iUSDT Tokens zu verwenden.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) April 13, 2023
Der Schaden war begrenzt, da nur die älteren Versionen von Yearn ausgenutzt wurden, bestätigte einer der leitenden Entwickler des Projekts Storm Blessed 0x.
Wir sind uns eines Problems bewusst, das auf das 2020 eingeführte Legacy-Protokoll von iearn und den Liquiditätspool beschränkt zu sein scheint.
Yearn v2 Tresore scheinen davon nicht betroffen zu sein.
Yearn-Mitarbeiter untersuchen das Problem.
Weitere Mitteilungen werden auf dem Hauptkonto folgen. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
Die Angreifer haben bereits damit begonnen, ETH über den Ethereum-Mixer Tornado Cash abzuziehen. Laut PeckShield wurden bereits 1.000 ETH im Wert von rund 1,9 Millionen Dollar abgezogen.
Angriffe wie diese sind im DeFi-Sektor üblich geworden.
Im März wurde Euler Finance, ein weiteres Kreditvergabe- und Kreditaufnahmeprotokoll, für fast 200 Millionen Dollar in einer Vielzahl von Kryptowährungen ausgenutzt. Kurz darauf wurde Sushiswap, eine dezentrale Kryptobörse, für 3,3 Millionen Dollar gehackt.
Das Euler-Team hat erfolgreich die Rückgabe des Großteils der Gelder ausgehandelt, und SushiSwap hat auch einen Wiederherstellungsplan für die betroffenen Nutzer entwickelt.
