3 miliony dolarów w ETH wysłane do Tornado Cash po domniemanym ataku na Yearn's yETH

Protokół yield-farmingowy Yearn Finance wydaje się być celem ataku, w wyniku którego z jego produktu Yearn Ether (yETH), agregującego popularne tokeny liquid staking (LST) w jeden token, wyprowadzono miliony dolarów wartych LST. 

Dane z blockchaina pokazują, że pula yETH została najwyraźniej opróżniona poprzez starannie przygotowany exploit, który pozwolił na wybicie niemal nieskończonej liczby tokenów yETH, co doprowadziło do opróżnienia puli w jednej transakcji. W wyniku tej transakcji 1 000 ETH (o wartości około 3 milionów dolarów według obecnych cen) zostało wysłanych do protokołu mieszającego Tornado Cash.

Atak najprawdopodobniej obejmował kilka świeżo wdrożonych smart kontraktów, z których niektóre uległy samozniszczeniu po przeprowadzeniu transakcji, jak pokazują dane z blockchaina. Całkowita skala strat finansowych początkowo nie była jasna, podczas gdy przed atakiem wartość puli yETH wynosiła około 11 milionów dolarów. 

O włamaniu jako pierwszy poinformował użytkownik X o nicku Togbe, który powiedział The Block, że zauważył podejrzany atak podczas monitorowania dużych transferów. "Netto transfery sugerują, że super mint yETH pozwolił atakującemu opróżnić pulę z zyskiem 1k ETH," napisał Togbe w wiadomości. "W jakiś sposób inne ETH zostało poświęcone w tym procesie, ale i tak [osiągnęli] zysk."

"Prowadzimy dochodzenie w sprawie incydentu dotyczącego puli yETH LST stableswap," napisał Yearn na X. "Yearn Vaults (zarówno V2, jak i V3) nie są dotknięte."

W nowym ogłoszeniu opublikowanym w niedzielę o 23:10, Yearn potwierdził, że w wyniku ataku stracił 9 milionów dolarów — 8 milionów z puli stableswap oraz 0,9 miliona z puli yETH-WETH stableswap na Curve. Yearn poinformował, że trwa pełne dochodzenie powłamaniowe, prowadzone we współpracy z SEAL 911 i ChainSecurity.

"Wstępna analiza wskazuje, że ten atak charakteryzuje się podobnym wysokim poziomem złożoności jak ostatni atak na Balancer, dlatego prosimy o cierpliwość podczas prowadzenia analizy powłamaniowej," napisał Yearn w poście. "Żaden inny produkt Yearn nie korzysta z podobnego kodu jak ten, który został zaatakowany."

Yearn Finance padł ofiarą exploita w 2021 roku, który dotknął jego vault yDAI, powodując stratę wartości na poziomie 11 milionów dolarów, z czego haker wyprowadził 2,8 miliona dolarów. W grudniu 2023 roku protokół poinformował, że wadliwy skrypt wyzerował 63% jednej z pozycji skarbcowych, jednak środki użytkowników nie ucierpiały. Andre Cronje, założyciel Yearn w 2020 roku, opuścił projekt dwa lata później. 

The Block nie był w stanie od razu uzyskać komentarza od Yearn. To rozwijająca się historia. 

Historia zaktualizowana o kolejne ogłoszenie Yearn