Uma versão mais antiga do protocolo Yearn Finance foi hackeada por US $ 11,6 milhões em 13 de abril devido a uma vulnerabilidade no token USDT da Yearn, yUSDT.
Relatórios iniciais sugeriram que o Aave também foi explorado, mas um porta-voz do Aave disse à TCN que ele só foi usado para trocar uma série de tokens. O fundador da Aave, Stani Kulechov, também confirmou que o projeto não foi diretamente afetado.
Aave é um dos protocolos de empréstimo e empréstimo mais antigos do DeFi, permitindo que os usuários ganhem rendimento ao depositar várias criptomoedas. Yearn Finance é outro protocolo DeFi popular que agrega várias oportunidades de rendimento de todo o mercado em uma única plataforma.
O token yUSDT é um token de acumulação de rendimento que rastreia o saldo de stablecoin USDT de um usuário depositado em contratos Yearn.
“Foi mal configurado para usar o token iUSDC do Fulcrum em vez do token iUSDT do Fulcrum”, observou o pesquisador do Paradigm, Samczsun. Fulcrum é uma plataforma DeFi que permite aos utilizadores pedir emprestado e emprestar ETH e outros tokens ERC-20.
Parece que o token iearn USDT (yUSDT) está quebrado desde a implantação, que foi *checks notes* há mais de 1000 dias. Foi mal configurado para utilizar o token Fulcrum iUSDC em vez do token Fulcrum iUSDT. https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun (@samczsun) April 13, 2023
Os danos foram limitados, uma vez que apenas as versões mais antigas do Yearn foram exploradas, confirmou um dos programadores sénior do projecto, Storm Blessed 0x.
Estamos cientes de um problema que parece isolado para o protocolo legado iearn lançado em 2020 e pool de liquidez.
Os cofres Yearn v2 parecem não ser afectados.
Os colaboradores da Yearn estão a investigar.
Mais comunicações a seguir na conta principal. https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) 13 de Abril de 2023
Os atacantes já começaram a retirar ETH através do misturador Ethereum Tornado Cash, com 1.000 ETH no valor de cerca de US $ 1,9 milhão já retirados, por PeckShield.
Ataques como esse se tornaram comuns no setor DeFi.
Em março, o Euler Finance, outro protocolo de empréstimo e empréstimo, foi explorado por quase US $ 200 milhões em uma variedade de criptomoedas. Pouco depois, Sushiswap, uma troca de criptografia descentralizada, foi hackeada por US $ 3,3 milhões.
A equipa da Euler negociou com sucesso a devolução da maioria dos fundos e a SushiSwap também lançou um plano de recuperação para os utilizadores afectados.