$3 million na ETH ipinadala sa Tornado Cash matapos ang umano'y pag-atake sa Yearn's yETH
Ang yield-farming protocol na Yearn Finance ay tila naging target ng isang pag-atake na nagdulot ng pagkawala ng milyon-milyong dolyar na halaga ng liquid staking tokens (LSTs) mula sa Yearn Ether (yETH) na produkto nito, na nag-a-aggregate ng mga popular na LSTs sa isang token.
Ipinapakita ng blockchain data na ang yETH pool ay tila na-drain sa pamamagitan ng isang maingat na ginawang exploit na nag-mint ng halos walang katapusang bilang ng yETH tokens, na nag-drain sa pool sa isang transaksyon lamang. Bilang resulta ng transaksyon, 1,000 ETH (na nagkakahalaga ng humigit-kumulang $3 milyon sa kasalukuyang presyo) ay ipinadala sa mixing protocol na Tornado Cash.
Ang pag-atake ay tila kinasangkutan ng ilang bagong-deploy na smart contracts, ang ilan sa mga ito ay nag-self-destruct matapos ang transaksyon, ayon sa blockchain data. Ang kabuuang saklaw ng pinansyal na pagkawala ay hindi agad malinaw, habang ang yETH pool ay may halagang humigit-kumulang $11 milyon bago ang pag-atake.
Ang hack ay unang napansin ng X user na si Togbe, na nagsabi sa The Block na napansin nila ang tila pag-atake habang nagmo-monitor ng malalaking transfer. "Ipinapahiwatig ng net transfers na ang yETH super mint ay pinayagan ang attacker na i-drain ang pool para sa ilang kita na 1k ETH," sabi ni Togbe sa isang mensahe. "Sa paanuman, may ibang ETH na naisakripisyo dito ngunit sila pa rin ay [kumita] ng tubo."
"Iniimbestigahan namin ang isang insidente na kinasasangkutan ng yETH LST stableswap pool," isinulat ng Yearn sa X. "Ang Yearn Vaults (parehong V2 at V3) ay hindi apektado."
Sa isang bagong anunsyo na inilathala 11:10 p.m. noong Linggo, kinumpirma ng Yearn na nawalan ito ng $9 milyon mula sa pag-atake — $8 milyon mula sa stableswap pool at $0.9 milyon mula sa yETH-WETH stableswap pool sa Curve. Sinabi ng Yearn na isang buong post-mortem investigation ang isinasagawa, sa pakikipagtulungan sa SEAL 911 at ChainSecurity.
"Ang paunang pagsusuri ay nagpakita na ang hack na ito ay may katulad na mataas na antas ng komplikasyon gaya ng kamakailang Balancer hack, kaya't mangyaring maghintay habang isinasagawa namin ang post-mortem analysis," isinulat ng Yearn sa post. "Walang ibang Yearn product na gumagamit ng katulad na code sa naapektuhan."
Noong 2021, ang Yearn Finance ay nakaranas ng isang exploit na nakaapekto sa yDAI vault nito, na nawalan ng $11 milyon sa halaga, at ang hacker ay nakakuha ng $2.8 milyon. Noong Disyembre 2023, sinabi ng protocol na isang faulty script ang nagbura ng 63% ng isa sa mga treasury positions nito, ngunit walang pondo ng user ang naapektuhan. Si Andre Cronje, na nagtatag ng Yearn noong 2020, ay umalis sa proyekto makalipas ang dalawang taon.
Hindi agad nakaabot ang The Block sa Yearn para sa komento. Ito ay isang umuunlad na balita.
Na-update ang kuwento upang idagdag ang follow-up na anunsyo ng Yearn
