Une ancienne version du protocole de Yearn Finance a été piratée pour 11,6 millions de dollars le 13 avril en raison d’une vulnérabilité dans le jeton USDT de Yearn, yUSDT.
Les premiers rapports suggèrent qu’Aave a également été exploité, mais un porte-parole d’Aave a déclaré à TCN qu’il n’avait été utilisé que pour échanger un ensemble de jetons. Le fondateur d’Aave, Stani Kulechov, a également confirmé que le projet n’avait pas été directement touché.
Aave est l’un des plus anciens protocoles de prêt et d’emprunt de DeFi, permettant aux utilisateurs d’obtenir un rendement pour le dépôt de diverses cryptocurrencies. Yearn Finance est un autre protocole DeFi populaire qui regroupe diverses opportunités de rendement du marché en une seule plateforme.
Le jeton yUSDT est un jeton de rendement qui suit le solde des stablecoins USDT d’un utilisateur déposés dans les contrats Yearn.
« Il a été mal configuré pour utiliser le jeton iUSDC de Fulcrum au lieu du jeton iUSDT de Fulcrum », a noté le chercheur de Paradigm, Samczsun. Fulcrum est une plateforme DeFi qui permet aux utilisateurs d’emprunter et de prêter des ETH et d’autres jetons ERC-20.
Il semble que le token iearn USDT (yUSDT) soit cassé depuis son déploiement, qui a eu lieu il y a *vérifie les notes* plus de 1000 jours. Il a été mal configuré pour utiliser le jeton Fulcrum iUSDC au lieu du jeton Fulcrum iUSDT. https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) April 13, 2023
Les dégâts ont été limités car seules les anciennes versions de Yearn ont été exploitées, a confirmé l’un des développeurs principaux du projet, Storm Blessed 0x.
Nous sommes conscients d’un problème qui semble isolé au protocole patrimonial iearn lancé en 2020 et au pool de liquidité.
Les coffres-forts de Yearn v2 ne semblent pas être affectés.
Les contributeurs de Yearn enquêtent.
D’autres communications suivront sur le compte principal. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
Les attaquants ont déjà commencé à retirer de l’ETH via le mixeur Ethereum Tornado Cash, avec 1 000 ETH d’une valeur d’environ 1,9 million de dollars déjà retirés, selon PeckShield.
Les attaques de ce type sont devenues courantes dans le secteur DeFi.
En mars, Euler Finance, un autre protocole de prêt et d’emprunt, a été exploité pour près de 200 millions de dollars à travers une variété de crypto-monnaies. Peu après, Sushiswap, une bourse de crypto-monnaies décentralisée, a été piratée pour un montant de 3,3 millions de dollars.
L’équipe Euler a négocié avec succès le retour de la majorité des fonds et Sushiswap a également mis en place un plan de récupération pour les utilisateurs affectés.
