4月13日,由于Yearn的USDT代币yUSDT存在漏洞,Yearn金融协议的一个旧版本被黑客攻击,价值1160万美元。
最初的报告显示,Aave也被利用了,但Aave发言人告诉TCN,它只被用来交换一系列的代币。Aave的创始人Stani Kulechov也证实,该项目没有受到直接影响。
Aave是DeFi最古老的借贷协议之一,让用户通过存入各种加密货币获得收益。Yearn Finance是另一个受欢迎的DeFi协议,它将市场上的各种收益机会汇总到一个平台。
yUSDT代币是一种收益率累积代币,追踪用户存入Yearn合约中的USDT稳定币余额。
“它被错误地配置为使用Fulcrum的iUSDC代币而不是Fulcrum的iUSDT代币,”Paradigm的研究员Samczsun指出。Fulcrum是一个DeFi平台,允许用户借用和借出ETH和其他ERC-20代币。
看来iearn USDT代币(yUSDT)自部署以来就已经坏了,这是*检查笔记*1000多天前。它被错误地配置为使用Fulcrum iUSDC代币而不是Fulcrum iUSDT代币。https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
– samczsun(@samczsun)April 13, 2023
由于只有Yearn的旧版本被利用,损害是有限的,该项目高级开发人员之一Storm Blessed 0x.
确认。
我们意识到一个问题,它似乎孤立于2020年推出的iearn传统协议和流动性池。
Yearn v2 vaults似乎没有受到影响。
Yearn贡献者正在进行调查。
进一步的通信将在主账户上进行。https://t.co/CKddWwjFj8
– Storm Blessed 0x (@storming0x) April 13, 2023
据PeckShield报道,攻击者已经开始通过以太坊混合器Tornado Cash提取ETH,已经提取了1000个ETH,价值约190万美元。
像这样的攻击在DeFi领域已经很常见。
3月,另一个借贷协议Euler Finance被利用,在各种加密货币中获得近2亿美元。不久之后,去中心化的加密货币交易所Sushiswap被黑客攻击,损失330万美元。
Euler团队成功协商归还了大部分资金,SushiSwap也为受影响的用户推出了恢复计划。