Старий Децентралізовані фінанси протокол знову потрапив у неприємності.

Сьогодні агрегатор ліквідного стейкінгу yETH, що належить Yearn Finance, зазнав хакерської атаки, внаслідок якої весь фондовий пул був практично виведений. Метод атаки був досить жорстоким — хакер за допомогою вразливості в контракті реалізував практично "безмежне карбування", однією транзакцією вичавивши пул, і без зусиль перевів 1000 ETH (приблизно 3 мільйони доларів) до міксера Tornado Cash.

Дані на ланцюзі чітко показують: кілька нових розгорнених смарт-контрактів брали участь у цій дії, після завершення ці контракти миттєво самознищилися, знищивши сліди. Перед інцидентом у пулі yETH знаходилася загальна вартість близько 11 мільйонів доларів, наразі точна сума випарувалася ще в процесі підрахунку, але втрати, безумовно, значні.

Цікаво, що цю ситуацію спочатку виявив не проект, а користувач Твіттера Togbe, який помітив підозрілі взаємодії, що стосуються протоколів Balancer, Rocket Pool, а також частих викликів Tornado Cash, що вказувало на атакувальні дії. Офіційний представник Yearn пізніше відповів, що їх продукт Vault не постраждав, але користувачі yETH, напевно, відчули тривогу.

Цей тип комбінації "карбування - висмоктування - змішування" вже не вперше з'являється в колі Децентралізовані фінанси. Які б суворі не були аудити смарт-контрактів, вони не можуть протистояти тому, що хакери вдень і вночі розмірковують над новими ідеями щодо твоїх ліквідних резервів.