Una versión antigua del protocolo Yearn Finance fue hackeada por $11,6 millones el 13 de abril debido a una vulnerabilidad en el token USDT de Yearn, yUSDT.
antilavadodedinero / decrypte
Los informes iniciales sugerían que Aave también fue explotado, pero un portavoz de Aave le dijo a Decrypt que solo se utilizó para intercambiar una serie de tokens. El fundador de Aave, Stani Kulechov, también confirmó que el proyecto no se vio afectado directamente.
Aave es uno de los protocolos de préstamos y financiamiento más antiguos de DeFi, que permite a los usuarios obtener rendimientos al depositar diversas criptomonedas. Yearn Finance es otro protocolo DeFi popular que agrega varias oportunidades de rendimiento del mercado en una sola plataforma.
El token yUSDT es un token que acumula rendimientos y sigue el saldo de la stablecoin USDT de un usuario depositada en los contratos de Yearn.
«Se configuró incorrectamente para usar el token iUSDC de Fulcrum en lugar del token iUSDT de Fulcrum», señaló el investigador de Paradigm, Samczsun. Fulcrum es una plataforma DeFi que permite a los usuarios pedir prestado y prestar ETH y otros tokens ERC-20.
It seems like the iearn USDT token (yUSDT) has been broken since deploy, which was *checks notes* over 1000 days ago. It was misconfigured to use the Fulcrum iUSDC token instead of the Fulcrum iUSDT token.https://t.co/FMtjACkGNz pic.twitter.com/dxW9E0ndF1
— samczsun (@samczsun) April 13, 2023
El daño fue limitado ya que solo se explotaron las versiones antiguas de Yearn, confirmó uno de los desarrolladores principales del proyecto, Storm Blessed 0x.
We are aware of an issue that seems isolated to the iearn legacy protocol launched in 2020 and liquidity pool.
— Storm Blessed 0x 🇯🇵 (@storming0x) April 13, 2023
Yearn v2 vaults seem not to be impacted.
Yearn contributors are investigating.
Further comms to follow on main account. https://t.co/CKddWwjFj8
Los atacantes ya comenzaron a retirar ETH a través del mezclador Ethereum Tornado Cash, con 1.000 ETH por un valor de aproximadamente $1,9 millones retirados ya, según PeckShield.
Los ataques como este se han vuelto comunes en el sector DeFi.
En marzo, Euler Finance, otro protocolo de préstamos y financiamiento, fue explotado por casi $200 millones en una variedad de criptomonedas. Poco después, Sushiswap, un intercambio de criptomonedas descentralizado, fue hackeado por $3,3 millones.
El equipo de Euler negoció con éxito la devolución de la mayoría de los fondos y SushiSwap también ha implementado un plan de recuperación para los usuarios afectados.
