Yearn Finance подозревается в атаке, Хакер уже отправил 1,000 ETH украденных средств в Tornado Cash

1 декабря, по данным The Block, Yearn Finance, похоже, подвергся атаке: его агрегатор популярных LST (жидких стейкинг-токенов) продукт Yearn Ether (yETH) был украден на миллионы долларов в LST-активах. Данные Блокчейна показывают, что злоумышленник с помощью тщательно сконструированного уязвимого места создал практически неограниченное количество токенов yETH за одну транзакцию, полностью опустошив пул. Атакующая транзакция привела к тому, что 1000 ETH (по текущей цене около 3 миллионов долларов) были отправлены в протокол смешивания Tornado Cash. Эта атака затронула несколько недавно развернутых смарт-контрактов, некоторые из которых самоуничтожились после транзакции. В настоящее время неясно, каковы точные масштабы убытков, но перед атакой размер пула yETH составлял около 11 миллионов долларов. Это хакерское действие сначала было обнаружено пользователем X Togbe, который заметил эту атаку, отслеживая крупные переводы. “Чистый перевод показывает, что чрезмерное создание yETH позволило злоумышленникам каким-то образом опустошить пул средств и получить около 1000 ETH прибыли”, - заявил Togbe в сообщении. “Почему-то часть ETH была пожертвована в процессе, но они в конечном итоге все равно получили прибыль.” “Мы расследуем событие, связанное с пулом стабильного обмена yETH LST”, - заявил Yearn в X, - “Vault Yearn V2 и V3 не пострадали.” Yearn Finance уже подвергался атаке в 2021 году, когда пострадал его yDAI хранилище, убытки составили 11 миллионов долларов, а хакер в конечном итоге получил 2,8 миллиона долларов. В декабре 2023 года протокол понес убытки в 63% из-за ошибки в скрипте, но средства пользователей не пострадали. Основатель Yearn Андре Кронье основал проект в 2020 году и покинул его два года спустя.