30 ноября неизвестные атаковали протокол Yearn Finance. Общий ущерб составил $9 млн, отметили специалисты по блокчейн-безопасности PeckShield.
Команда проекта подтвердила факт взлома, подчеркнув, что причиной стала уязвимость в коде продукта Yearn Ether (yETH).
По данным PeckShield, злоумышленники создали почти бесконечное количество монет, опустошив весь пул одной транзакцией на 1000 ETH (~$3 млн).
Украденные средства хакеры сразу отправили в криптомиксер Tornado Cash.
По словам разработчиков Yearn, затронутый контракт — кастомная версия популярного кода stableswap, не связанная с другими продуктами протокола. Yearn V2/V3 остаются в безопасности, подчеркнули они.
Предварительные данные указали на следующие приблизительные потери:
На фоне инцидента токен Yearn — YFI — просел на 5,5%. На момент написания актив торгуется около $3900 при капитализации на уровне $132,6 млн.
TVL протокола снизился с $432 млн до $410 за последние сутки. На пике в ноябре 2021 года показатель составлял $6,7 млрд.
Последний инцидент — не первый случай взлома Yearn. В 2021 году неизвестный вывел $2,8 млн из пула v1 yDAI. Проект оперативно возместил потери пострадавшим пользователям.
В декабре 2023 года в результате «ошибочного сценария» мультисиг-транзакции протокол потерял 63% казначейских средств в пуле Lp yCRV. Инцидент произошел в ходе «обычного процесса конвертации токенов комиссий» и привел к обмену 3 794 894 yCRV на 779 958 yvDAI. Команда уточнила, что ущерб составил $1,4 млн.
