Данные блокчейна показывают, что злоумышленник с помощью тщательно сконструированной уязвимости сумел отчеканить почти бесконечное количество токенов yETH в одной транзакции, полностью опустошив пул. В результате атакующая транзакция отправила 1 000 ETH (примерно 3 миллиона долларов по текущему курсу) в миксер Tornado Cash. Атака затронула несколько недавно развернутых смарт-контрактов, некоторые из которых самоуничтожились после проведения операций. Точная сумма ущерба пока неизвестна, однако до атаки объем пула yETH составлял около 11 миллионов долларов.

О первом обнаружении этого инцидента сообщил пользователь X Тогбе, который заметил атаку при мониторинге крупных переводов. «Чистый перевод показывает, что избыточный выпуск yETH позволил атакующему каким-то образом опустошить пул и получить прибыль в размере около 1000 ETH», — отметил Тогбе в своем сообщении. «Неизвестно почему, часть ETH была пожертвована в процессе, но в конечном счете они все равно остались в выигрыше».

«Мы проводим расследование инцидента, связанного с пулом стабильного обмена yETH LST», — заявили представители Yearn в X. «Хранилища V2 и V3 Yearn не пострадали».

Yearn Finance ранее уже сталкивался с атакой в 2021 году, когда был скомпрометирован пул yDAI, что привело к убыткам на сумму 11 миллионов долларов; хакер в итоге получил 2,8 миллиона долларов. В декабре 2023 года протокол понес 63%-ные потери в одной из позиций хранилища из-за ошибки в скрипте, однако средства пользователей при этом не пострадали. Проект был основан создателем Yearn Финанс Андре Кронье в 2020 году, который спустя два года покинул проект.

[律动]