Dữ liệu blockchain cho thấy, kẻ tấn công đã đúc một lượng token yETH gần như vô hạn trong một giao dịch duy nhất thông qua một lỗ hổng được xây dựng tỉ mỉ, do đó rút cạn hoàn toàn pool. Giao dịch tấn công đã khiến 1.000 ETH (ước tính khoảng 3,00 triệu đô la Mỹ theo giá hiện tại) được gửi đến giao thức trộn tiền Tornado Cash. Vụ tấn công này liên quan đến nhiều hợp đồng thông minh mới được triển khai, một số trong đó tự hủy sau giao dịch. Hiện tại vẫn chưa rõ quy mô thiệt hại chính xác, nhưng trước khi bị tấn công, quy mô của pool yETH là khoảng 11,00 triệu đô la Mỹ.

Hành vi hack này lần đầu tiên được phát hiện bởi người dùng X Togbe, người đã nhận thấy vụ tấn công khi theo dõi các giao dịch chuyển tiền lớn. "Chuyển tiền ròng cho thấy việc đúc quá mức yETH đã cho phép kẻ tấn công bằng cách nào đó rút cạn các pool và thu được khoảng 1000 ETH từ đó." Togbe cho biết trong một tin nhắn, "Không hiểu vì lý do gì, một phần ETH đã bị hy sinh trong quá trình này, nhưng cuối cùng họ vẫn có lợi nhuận."

"Chúng tôi đang điều tra một sự cố liên quan đến pool trao đổi ổn định yETH LST," Yearn cho biết trên X, "V2 và V3 Vault của Yearn không bị ảnh hưởng."

Yearn Finance đã từng bị tấn công vào năm 2021, ảnh hưởng đến kho tiền yDAI của họ, gây thiệt hại 11,00 triệu đô la Mỹ, hacker cuối cùng đã thu được lợi nhuận 2,80 triệu đô la Mỹ. Vào tháng 12 năm 2023, giao thức này đã làm mất 63% vị thế kho tiền của mình do lỗi script, nhưng tiền của người dùng không bị ảnh hưởng. Người sáng lập Yearn, Andre Cronje, đã thành lập dự án vào năm 2020 và rời đi hai năm sau đó.

[BlockBeats]