Старая версия протокола Yearn Finance была взломана на $11,6 млн 13 апреля из-за уязвимости в USDT-токене Yearn, yUSDT.
Первоначальные сообщения предполагали, что Aave также был взломан, но представитель Aave сообщил TCN, что он использовался только для обмена массива токенов. Основатель Aave Стани Кулечов также подтвердил, что проект не был затронут напрямую.
Aave — один из старейших протоколов кредитования и заимствования DeFi, позволяющий пользователям получать доход за депонирование различных криптовалют. Yearn Finance — еще один популярный протокол DeFi, который объединяет различные возможности получения доходности со всего рынка в единую платформу.
Токен yUSDT — это токен, начисляющий доходность, который отслеживает баланс стейблкоинов USDT пользователя, депонированных в контрактах Yearn.
«Было неправильно настроено использование токена iUSDC компании Fulcrum вместо токена iUSDT компании Fulcrum», — отметил исследователь Paradigm Самчун. Fulcrum — это платформа DeFi, которая позволяет пользователям заимствовать и одалживать ETH и другие токены ERC-20.
Похоже, что токен iearn USDT (yUSDT) был сломан с момента развертывания, которое было *проверяет заметки* более 1000 дней назад. Он был неправильно настроен для использования токена Fulcrum iUSDC вместо токена Fulcrum iUSDT.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
— samczsun (@samczsun) April 13, 2023
W
Ущерб был ограничен, поскольку эксплуатировались только старые версии Yearn, подтвердил один из старших разработчиков проекта Storm Blessed 0x.
Мы знаем о проблеме, которая, похоже, изолирована от унаследованного протокола iearn, запущенного в 2020 году, и пула ликвидности.
Хранилища Yearn v2, похоже, не затронуты.
Сотрудники Yearn проводят расследование.
Дальнейшие сообщения будут поступать на основной счет. https://t.co/CKddWwjFj8
— Storm Blessed 0x (@storming0x) Апрель 13, 2023
Злоумышленники уже начали выводить ETH через Ethereum-микшер Tornado Cash, при этом уже выведено 1 000 ETH на сумму около $1,9 млн, согласно данным PeckShield.
Подобные атаки стали обычным явлением в секторе DeFi.
В марте Euler Finance, еще один протокол кредитования и заимствования, был взломан на сумму около 200 миллионов долларов США в различных криптовалютах. Вскоре после этого была взломана децентрализованная криптовалютная биржа Sushiswap, где было похищено 3,3 миллиона долларов.
Команда Euler успешно провела переговоры о возврате большей части средств, а SushiSwap также разработала план восстановления для пострадавших пользователей.
