Een oudere versie van Yearn Finance protocol werd op 13 april voor $11,6 miljoen gehackt door een kwetsbaarheid in Yearn’s USDT token, yUSDT.
Eerste rapporten suggereerden dat Aave ook werd misbruikt, maar een woordvoerder van Aave vertelde TCN dat het alleen werd gebruikt om een reeks tokens te ruilen. De oprichter van Aave, Stani Kulechov, bevestigde ook dat het project niet direct werd getroffen.
Aave is een van de oudste leen- en uitleenprotocollen van DeFi, waarmee gebruikers rendement kunnen verdienen voor het storten van verschillende cryptocurrencies. Yearn Finance is een ander populair DeFi protocol dat verschillende opbrengstmogelijkheden uit de hele markt samenvoegt in een enkel platform.
Het yUSDT token is een yield-accruing token dat het USDT stablecoin saldo van een gebruiker, gestort in Yearn contracten, bijhoudt.
“Het was verkeerd geconfigureerd om het iUSDC token van Fulcrum te gebruiken in plaats van het iUSDT token van Fulcrum,” merkte onderzoeker Samczsun van Paradigm op. Fulcrum is een DeFi platform waarmee gebruikers ETH en andere ERC-20 tokens kunnen lenen en uitlenen.
Het lijkt erop dat de iearn USDT token (yUSDT) kapot is sinds het inzetten, wat *checkt notities* meer dan 1000 dagen geleden was. Het was verkeerd geconfigureerd om het Fulcrum iUSDC token te gebruiken in plaats van het Fulcrum iUSDT token.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) April 13, 2023
De schade was beperkt omdat alleen de oudere versies van Yearn werden misbruikt, bevestigde een van de senior ontwikkelaars van het project Storm Blessed 0x.
We zijn ons bewust van een probleem dat geïsoleerd lijkt te zijn voor het in 2020 gelanceerde iearn legacy-protocol en de liquiditeitspool.
Yearn v2-kluizen lijken niet te worden beïnvloed.
Yearn medewerkers onderzoeken dit.
Verdere communicatie volgt op hoofdaccount. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
De aanvallers zijn al begonnen met het opnemen van ETH via de Ethereum mixer Tornado Cash, met 1.000 ETH ter waarde van ongeveer $1,9 miljoen al opgenomen, per PeckShield.
Aanvallen als deze zijn gebruikelijk geworden in de DeFi-sector.
In maart werd Euler Finance, een ander leen- en uitleenprotocol, uitgebuit voor bijna $200 miljoen over verschillende cryptocurrencies. Kort daarna werd Sushiswap, een gedecentraliseerde cryptobeurs, gehackt voor $3,3 miljoen.
Het Euler-team heeft met succes onderhandeld over de teruggave van het grootste deel van de fondsen en SushiSwap heeft ook een herstelplan uitgerold voor getroffen gebruikers.
