Yearn Finance, ймовірно, став жертвою атаки, Хакер вже відправив 1,000 монет ETH крадених коштів до Tornado Cash

1 грудня, за повідомленням The Block, Yearn Finance, схоже, зазнав атаки: його продукт Yearn Ether (yETH), що агрегує популярні LST (ліквідні стейкінгові токени), втратив мільйони доларів активів LST. Дані з блокчейну показують, що зловмисники через ретельно сплановану вразливість у одній транзакції мінтингували майже безмежну кількість токенів yETH, внаслідок чого пул був повністю вичерпаний. Атакувальна транзакція призвела до відправлення 1000 ETH (за поточною ціною приблизно 3 мільйони доларів) до протоколу змішування Tornado Cash. Ця атака включала кілька нових розгорнутих смартконтрактів, деякі з яких самознищилися після транзакції. Наразі неясно, яка саме шкода була завдана, але до атаки розмір пулу yETH становив приблизно 11 мільйонів доларів. Цю хакерську активність вперше виявив користувач X Togbe, який помітив цю атаку, коли контролював великі перекази. “Чисті перекази показують, що надмірний мінтинг yETH дозволив зловмиснику якимось чином вичерпати пул коштів і отримати приблизно 1000 ETH прибутку”, - зазначив Togbe у повідомленні. “Чомусь частина ETH була в процесі принесена в жертву, але в кінцевому підсумку вони все ж отримали прибуток.” “Ми розслідуємо подію, пов'язану з пулом стабільного обміну yETH LST”, - зазначив Yearn в X, - “Vault Yearn V2 та V3 не постраждали.” Yearn Finance зазнав атаки у 2021 році, що вплинуло на його сховище yDAI, з втратою в 11 мільйонів доларів, зловмисник отримав прибуток у 2,8 мільйона доларів. У грудні 2023 року протокол зазнав збитків у 63% через помилку в сценарії, але кошти користувачів не постраждали. Засновник Yearn Андре Кроньє заснував проект у 2020 році і залишив його через два роки.