Una versión antigua del protocolo Yearn Finance fue hackeada por 11,6 millones de dólares el 13 de abril debido a una vulnerabilidad en el token USDT de Yearn, yUSDT.
Los informes iniciales sugirieron que Aave también fue explotada, pero un portavoz de Aave dijo a TCN que sólo se utilizó para intercambiar una serie de tokens. El fundador de Aave, Stani Kulechov, también confirmó que el proyecto no se vio directamente afectado.
Aave es uno de los protocolos de préstamo y empréstito más antiguos de DeFi, que permite a los usuarios obtener rendimientos por depositar varias criptodivisas. Yearn Finance es otro protocolo popular de DeFi que agrega varias oportunidades de rendimiento de todo el mercado en una única plataforma.
El token yUSDT es un token de acumulación de rendimientos que realiza un seguimiento del saldo de stablecoin USDT de un usuario depositado en contratos Yearn.
«Estaba mal configurado para utilizar el token iUSDC de Fulcrum en lugar del token iUSDT de Fulcrum», señaló Samczsun, investigador de Paradigm. Fulcrum es una plataforma DeFi que permite a los usuarios pedir y prestar ETH y otros tokens ERC-20.
Parece que el token iearn USDT (yUSDT) ha estado roto desde su despliegue, que fue *comprueba notas* hace más de 1000 días. Estaba mal configurado para utilizar el token Fulcrum iUSDC en lugar del token Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) 13 de abril de 2023
Los daños fueron limitados, ya que sólo se aprovecharon las versiones más antiguas de Yearn, confirmó uno de los desarrolladores principales del proyecto, Storm Blessed 0x.
Somos conscientes de un problema que parece aislado al protocolo de legado iearn lanzado en 2020 y al fondo de liquidez.
Las bóvedas Yearn v2 no parecen estar afectadas.
Los colaboradores de Yearn están investigando.
Más comunicaciones en la cuenta principal. https://t.co/CKddWwjFj8
– Tormenta Bendita 0x (@storming0x) 13 de abril de 2023
Los atacantes ya han comenzado a retirar ETH a través del mezclador de Ethereum Tornado Cash, con 1.000 ETH por valor de alrededor de 1,9 millones de dólares ya retirados, según PeckShield.
Ataques como este se han vuelto comunes en el sector DeFi.
En marzo, Euler Finance, otro protocolo de préstamos y empréstitos, fue explotado por casi 200 millones de dólares a través de una variedad de criptodivisas. Poco después, Sushiswap, una bolsa de criptomonedas descentralizada, fue pirateada por 3,3 millones de dólares.
El equipo de Euler negoció con éxito la devolución de la mayoría de los fondos y SushiSwap también ha puesto en marcha un plan de recuperación para los usuarios afectados.