Данные блокчейна показывают, что злоумышленник, используя тщательно сконструированную уязвимость, отчеканил почти неограниченное количество токенов yETH в одной транзакции, тем самым полностью опустошив пул. Атакующая транзакция привела к отправке 1 000 ETH (около 3 000 000 долларов США по текущей цене) в протокол микширования Tornado Cash. Атака включала в себя несколько недавно развернутых смарт-контрактов, некоторые из которых самоуничтожились после транзакции. В настоящее время точный размер убытков неясен, но до атаки размер пула yETH составлял около 11 000 000 долларов США.

Об этом хакерском инциденте первым сообщил пользователь X Togbe, который заметил атаку при мониторинге крупных переводов. «Чистый перевод показывает, что чрезмерная чеканка yETH позволила злоумышленнику каким-то образом опустошить пул и получить от этого около 1000 ETH», — сказал Togbe в сообщении. «Не знаю почему, часть ETH была пожертвована в процессе, но в конечном итоге они все равно получили прибыль».

«Мы расследуем инцидент, связанный со стабильным обменным пулом yETH LST», — заявили в Yearn в X. «V2 и V3 Vault от Yearn не пострадали».

Yearn Finance уже подвергался атаке в 2021 году, которая затронула его хранилище yDAI, в результате чего было потеряно 11 000 000 долларов США, а хакер в конечном итоге получил прибыль в размере 2 800 000 долларов США. В декабре 2023 года протокол потерял 63% позиции одного из своих хранилищ из-за ошибки в скрипте, но средства пользователей не пострадали. Основатель Yearn Андре Кронье основал проект в 2020 году и покинул его два года спустя.

[BlockBeats]