Una vecchia versione del protocollo Yearn Finance è stata violata per 11,6 milioni di dollari il 13 aprile a causa di una vulnerabilità nel token USDT di Yearn, yUSDT.
I rapporti iniziali suggerivano che anche Aave fosse stato sfruttato, ma un portavoce di Aave ha dichiarato a TCN che è stato utilizzato solo per scambiare una serie di token. Anche il fondatore di Aave, Stani Kulechov, ha confermato che il progetto non è stato colpito direttamente.
Aave è uno dei più vecchi protocolli di prestito e di prestito della DeFi, che consente agli utenti di guadagnare rendimento per il deposito di varie criptovalute. Yearn Finance è un altro popolare protocollo DeFi che aggrega varie opportunità di rendimento da tutto il mercato in un’unica piattaforma.
Il token yUSDT è un token che matura rendimenti e tiene traccia del saldo in stablecoin USDT dell’utente depositato nei contratti Yearn.
“È stato configurato in modo errato per utilizzare il token iUSDC di Fulcrum invece del token iUSDT di Fulcrum”, ha osservato il ricercatore di Paradigm, Samczsun. Fulcrum è una piattaforma DeFi che consente agli utenti di prendere in prestito e prestare ETH e altri token ERC-20.
Sembra che il token USDT di iearn (yUSDT) sia rotto da quando è stato distribuito, ovvero *controlla le note* oltre 1000 giorni fa. È stato configurato in modo errato per utilizzare il token Fulcrum iUSDC invece del token Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) 13 aprile 2023
I danni sono stati limitati poiché sono state sfruttate solo le vecchie versioni di Yearn, ha confermato uno degli sviluppatori senior del progetto Storm Blessed 0x.
Siamo a conoscenza di un problema che sembra isolato al protocollo iearn legacy lanciato nel 2020 e al pool di liquidità.
I caveau di Yearn v2 non sembrano essere interessati.
I collaboratori di Yearn stanno indagando.
Seguiranno ulteriori comunicazioni sull’account principale. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
Gli aggressori hanno già iniziato a prelevare ETH attraverso il mixer Ethereum Tornado Cash, con 1.000 ETH del valore di circa 1,9 milioni di dollari già prelevati, secondo PeckShield.
Attacchi come questo sono diventati comuni nel settore della DeFi.
A marzo, Euler Finance, un altro protocollo di prestito e di prestito, è stato sfruttato per quasi 200 milioni di dollari in diverse criptovalute. Poco dopo, Sushiswap, uno scambio decentralizzato di criptovalute, è stato violato per 3,3 milioni di dollari.
Il team di Euler ha negoziato con successo la restituzione della maggior parte dei fondi e SushiSwap ha anche lanciato un piano di recupero per gli utenti colpiti.