YearnのUSDTトークンであるyUSDTの脆弱性により、4月13日にYearn Financeプロトコルの古いバージョンが1160万ドルでハッキングされました。
当初の報道では、Aaveも悪用されたとされていたが、Aaveの広報担当者はTCNに対し、トークンの配列を交換するために使われただけだと述べた。Aaveの創設者Stani Kulechovも、プロジェクトが直接影響を受けていないことを確認しました
。
Aaveは、DeFiの最も古い貸し借りプロトコルの1つで、ユーザーに様々な暗号通貨を預けて利回りを獲得させています。Yearn Financeは、市場からの様々な利回りの機会を単一のプラットフォームに集約した、もう一つの人気のDeFiプロトコルです。
yUSDTトークンは、Yearnコントラクトに預けられたユーザーのUSDT安定コイン残高を追跡する利回り発生型トークンです。
“FulcrumのiUSDTトークンではなく、FulcrumのiUSDCトークンを使用するように設定されていたのは誤りだった “とParadigmのリサーチャー、Samczsunは指摘しています。Fulcrumは、ユーザーがETHやその他のERC-20トークンを貸し借りできるDeFiプラットフォームである
。
iearn USDTトークン(yUSDT)が1000日以上前の*checks notes*のデプロイから壊れていたようです。Fulcrum iUSDT tokenの代わりにFulcrum iUSDC tokenを使うように設定ミスでした。https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) April 13, 2023UVXWWT
」。
Yearnの古いバージョンのみが悪用されたため、被害は限定的であると、プロジェクトの上級開発者の一人であるStorm Blessed 0xは確認しています
We are aware of a issue that seems isolated to iearn legacy protocol launched in 2020 and liquidity pool.
Yearn v2 vaultsは影響を受けていないようです。
Yearnのコントリビューターが調査中です。
メインアカウントでさらに連絡を取り合います。https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
」。
攻撃者はすでにイーサリアムミキサーのトルネードキャッシュを通じてETHの引き出しを開始しており、PeckShieldによると、すでに1000ETHで約190万円相当が引き出されています。
このような攻撃は、DeFiセクターでは一般的になっています
。
3月には、別の貸し借りプロトコルであるEuler Financeが悪用され、さまざまな暗号通貨にわたって2億ドル近くを奪われました。その直後には、分散型暗号取引所であるSushiswapが330万ドルのハッキングを受けました。
オイラーチームは資金の大半の返還交渉に成功し、SushiSwapも影響を受けたユーザー向けに回復プランを展開しました
。