Les données de la blockchain montrent que les attaquants ont exploité une vulnérabilité soigneusement construite pour frapper une quantité presque illimitée de jetons yETH en une seule transaction, vidant ainsi complètement le pool. La transaction d'attaque a entraîné l'envoi de 1 000 ETH (environ 3 000 000,00 $ au prix actuel) au protocole de mixage Tornado Cash. L'attaque impliquait plusieurs nouveaux contrats intelligents déployés, dont certains se sont autodétruits après la transaction. L'ampleur exacte des pertes n'est pas encore connue, mais avant l'attaque, la taille du pool yETH était d'environ 11 000 000,00 $.

Ce piratage a été découvert pour la première fois par l'utilisateur X Togbe, qui a remarqué l'attaque en surveillant les transferts importants. « Les transferts nets montrent que la sur-frappe de yETH a permis aux attaquants de vider le pool d'une manière ou d'une autre et d'en tirer un bénéfice d'environ 1 000 ETH », a déclaré Togbe dans un message. « On ne sait pas pourquoi, une partie de l'ETH a été sacrifiée au cours du processus, mais ils ont quand même fini par en tirer profit. »

« Nous enquêtons sur un incident impliquant le pool d'échange stable yETH LST », a déclaré Yearn sur X, « Les Vaults V2 et V3 de Yearn n'ont pas été affectés. »

Yearn Finance avait déjà subi une attaque en 2021, affectant son coffre-fort yDAI, entraînant une perte de 11 000 000,00 $, les pirates ayant finalement réalisé un bénéfice de 2 800 000,00 $. En décembre 2023, le protocole a perdu 63 % de la position de l'un de ses coffres-forts en raison d'une erreur de script, mais les fonds des utilisateurs n'ont pas été affectés. Le fondateur de Yearn, Andre Cronje, a créé le projet en 2020 et l'a quitté deux ans plus tard.

[律动]