Starsza wersja protokołu Yearn Finance została zhakowana na 11,6 mln dolarów 13 kwietnia z powodu luki w tokenie USDT firmy Yearn, yUSDT.
Początkowe raporty sugerowały, że Aave również zostało wykorzystane, ale rzecznik Aave powiedział TCN, że zostało ono użyte tylko do wymiany tablicy tokenów. Założyciel Aave, Stani Kulechov, również potwierdził, że projekt nie został bezpośrednio dotknięty.
Aave jest jednym z najstarszych protokołów pożyczkowych i kredytowych DeFi, pozwalając użytkownikom zarabiać na dochodach za deponowanie różnych kryptowalut. Yearn Finance to kolejny popularny protokół DeFi, który agreguje różne możliwości zysku z całego rynku w jedną platformę.
Token yUSDT jest tokenem gromadzącym plony, który śledzi saldo USDT stablecoin użytkownika zdeponowane w kontraktach Yearn.
„To było błędnie skonfigurowane, aby użyć tokenu iUSDC Fulcrum zamiast tokenu iUSDT Fulcrum” – zauważył badacz Paradigm, Samczsun. Fulcrum to platforma DeFi, która pozwala użytkownikom pożyczać i pożyczać ETH i inne tokeny ERC-20.
Wygląda na to, że token iearn USDT (yUSDT) jest uszkodzony od czasu deploymentu, który miał miejsce *sprawdza notatki* ponad 1000 dni temu. Został on błędnie skonfigurowany, aby używać tokena Fulcrum iUSDC zamiast tokena Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) 13 kwietnia 2023
Szkody były ograniczone, ponieważ wykorzystano tylko starsze wersje Yearn, potwierdził jeden ze starszych deweloperów projektu Storm Blessed 0x.
Jesteśmy świadomi problemu, który wydaje się być odizolowany od protokołu iearn legacy uruchomionego w 2020 roku oraz liquidity pool.
Skarbce Yearn v2 wydają się nie być dotknięte problemem.
Pracownicy Yearn prowadzą dochodzenie.
Dalsze komunikaty na głównym koncie. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) 13 kwietnia 2023
Atakujący zaczęli już wypłacać ETH za pośrednictwem miksera Ethereum Tornado Cash – według PeckShield wycofano już 1000 ETH o wartości około 1,9 miliona dolarów.
Ataki takie jak ten stały się powszechne w sektorze DeFi.
W marcu Euler Finance, inny protokół pożyczkowy i kredytowy, został wykorzystany na prawie 200 milionów dolarów w różnych kryptowalutach. Krótko po tym, Sushiswap, zdecentralizowana wymiana kryptowalut, została zhakowana na 3,3 miliona dolarów.
Zespół Euler z powodzeniem wynegocjował zwrot większości środków, a SushiSwap rozwinął również plan naprawczy dla dotkniętych użytkowników.