DeFi-протокол Yearn.Finance подвергся эксплойту. Хакеру удалось вывести с площадки цифровые активы на сумму более $11 млн.
13 апреля неизвестный хакер воспользовался уязвимостью смарт-контракта стейблкоина yUSDT на платформе Yearn.Finance. Согласно сообщению PeckShield, злоумышленнику удалось завладеть цифровыми активами на сумму ~$11,6 млн.
Аналитики PeckShield рассказали, что хакер смог отчеканить более 1,2 квадриллиона yUSDT под залог всего 10 тыс. USDT. После чего злоумышленник обменял выпущенные монеты на стейблкоины:
- ~61 тыс. USDP;
- ~1,5 млн TUSD;
- ~1,79 млн BUSD;
- ~1,2 млн USDT;
- ~2,58 млн USDC;
- ~3 млн DAI.
После этого хакер использовал 1,5 млн украденных TUSD для обмена на 634 ETH через DeFi-протокол Aave. Остальные стейблкоины злоумышленник обменял еще на ~600 ETH через различные криптовалютные биржи. На момент обнаружения взлома более 1000 ETH из кошелька эксплуататора уже были отправлены в криптомиксер Tornado Cash.
Представители Yearn.Finance сообщили, что «проблема» заключается в «устаревшей версии протокола» от 2020 года и пулами ликвидности, уверив пользователей, что хранилища Yearn v2 не затронуты. Команда проекта сотрудничает с CertiK и другими компаниями, занимающимися безопасностью блокчейн-приложений, в рамках расследования инцидента.
Напомним, на днях эксплойту подверглась децентрализованная биржа SushiSwap, из которой злоумышленнику удалось вывести 1800 ETH (~$3,3 млн). А ранее хакеры провели одну из самых крупных в 2023 году атак на DeFi-сектор, взломав протокол кредитования Euler Finance и выведя из него более $196 млн в криптовалюте.
