Старый Децентрализованные финансы Протокол снова попал в беду.

Ликвидный стейкинг-агрегатор yETH от Yearn Finance сегодня подвергся хакерской атаке, и весь пул средств был практически опустошен. Метод атаки оказался довольно жестоким — хакеры использовали уязвимость в смарт-контракте для достижения почти "бесконечной эмиссии", одной транзакцией вытащив все средства из пула и переведя 1000 ETH (примерно 3 миллиона долларов) в Tornado Cash.

Данные на блокчейне показывают это очень ясно: несколько новых развернутых смарт-контрактов участвовали в этом действии, а после завершения эти контракты сразу же самоуничтожились, стерев следы. Перед инцидентом в пуле yETH находилась общая стоимость около 11 миллионов долларов, сейчас точная сумма испарившихся средств еще подсчитывается, но ущерб определенно немалый.

Интересно, что этой ситуации изначально не обнаружила команда проекта, а первым на аномалию обратил внимание пользователь Твиттера Togbe — он заметил большое количество подозрительных взаимодействий с такими протоколами, как Balancer и Rocket Pool, а также частые вызовы Tornado Cash, что практически подтвердило, что это атака. Официальный аккаунт Yearn впоследствии ответил, что их продукт Vault не пострадал, но пользователям yETH, вероятно, было не по себе.

Эти комбинации "чеканка-откачка-смешивание" уже не в первый раз появляются в кругу Децентрализованные финансы. Как бы строго ни проводился аудит смарт-контрактов, хакерам не мешает сутками выискивать новые подходы к вашей ликвидности.