3 мільйони доларів у ETH відправлено до Tornado Cash після ймовірної атаки на Yearn's yETH

Протокол yield-farming Yearn Finance, схоже, став мішенню атаки, внаслідок якої було виведено мільйони доларів у вигляді ліквідних стейкінгових токенів (LST) з його продукту Yearn Ether (yETH), який агрегує популярні LST в один токен. 

Дані блокчейну показують, що пул yETH був, ймовірно, спустошений через ретельно спланований експлойт, який дозволив випустити майже нескінченну кількість токенів yETH, вивівши ліквідність пулу за одну транзакцію. В результаті цієї транзакції 1 000 ETH (приблизно $3 мільйони за поточним курсом) було відправлено до міксера Tornado Cash.

Схоже, що атака включала кілька щойно розгорнутих смарт-контрактів, деякі з яких самознищилися після транзакції, як показують дані блокчейну. Загальний масштаб фінансових втрат спочатку був незрозумілий, тоді як до атаки пул yETH мав близько $11 мільйонів вартості. 

Про злам вперше повідомив користувач X Togbe, який розповів The Block, що помітив підозрілу атаку під час моніторингу великих переказів. "Чисті перекази свідчать, що yETH super mint дозволив зловмиснику спустошити пул і отримати 1k ETH," — сказав Togbe у повідомленні. "Якимось чином інші ETH були пожертвувані, але вони все одно отримали прибуток."

"Ми розслідуємо інцидент, пов'язаний із пулом yETH LST stableswap," — написали у Yearn на X. "Yearn Vaults (як V2, так і V3) не постраждали."

У новому оголошенні, опублікованому о 23:10 у неділю, Yearn підтвердив, що втратив $9 мільйонів у результаті атаки — $8 мільйонів із пулу stableswap і $0,9 мільйона з пулу yETH-WETH stableswap на Curve. Yearn повідомив, що проводиться повне постмортем-розслідування у співпраці з SEAL 911 та ChainSecurity.

"Початковий аналіз показав, що цей злам має подібний високий рівень складності, як і нещодавній злам Balancer, тому просимо вас зачекати, поки ми проведемо постмортем-аналіз," — написали у Yearn. "Жоден інший продукт Yearn не використовує подібний код до того, який було скомпрометовано."

Yearn Finance вже зазнавав експлойту у 2021 році, коли постраждав його yDAI vault, що втратив $11 мільйонів вартості, а зловмисник отримав $2,8 мільйона. У грудні 2023 року протокол повідомив, що помилковий скрипт знищив 63% однієї з його казначейських позицій, але кошти користувачів не постраждали. Andre Cronje, який заснував Yearn у 2020 році, залишив проєкт через два роки. 

The Block не зміг негайно отримати коментар від Yearn. Це новина, що розвивається. 

Історію оновлено, додано подальше оголошення Yearn