Хакер викрав понад $11 млн внаслідок атаки на Yearn Finance

Аналітики компанії з кібербезпеки PeckShield зафіксували хакерську атаку на DeFi-протокол Yearn Finance, внаслідок якої зловмисник поцупив $11,6 млн у криптовалюті.

The loss of today's @iearnfinance yUSDT hack is ~$11.6m.

As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT – https://t.co/sYuEuiBhAo – to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu

— PeckShield Inc. (@peckshield) April 13, 2023

За даними експертів, хакер скористався експлойтом у смартконтракті стейблкоїну проєкту Yearn Tether, що дозволило йому створити квадрильйон yUSDT при депозиті у $10 000 USDT.

Згодом зловмисник конвертував криптовалюти в інші “стабільні монети”. Він отримав 61 000 USDP, $1,5 млн TUSD, $1,79 BUSD, $1,2 USDT, $2,58 USDC та $3 млн DAI.

У PeckShield також зазначили, що частину викрадених коштів зламник переказав на адресу криптовалютного міксера Tornado Cash.

Водночас представники Yearn Finance заявили, що розпочали розслідування інциденту. За їхніми словами, хакер використав застарілий контракт для здійснення атаки.

We're looking into an issue with iearn, an outdated contract from before Vaults v1 and v2.

This problem seems exclusive to iearn and does not impact current Yearn contracts or protocols.

iearn is an immutable contract predating YFI, it was deprecated in 2020.

Vaults v1, with…

— yearn (@iearnfinance) April 13, 2023

“Iern — незмінний контракт, який ми не підтримуємо з 2020 року. Сховища першої та другої версії протоколу не постраждали”, — запевнила команда проєкту.

Раніше жертвою зламу стала південнокорейська криптовалютна біржа GDAC. Хакери вкрали активи на майже $13 млн — близько 23% усіх депозитів платформи.