Yearn Finance bị tấn công, thiệt hại khoảng 10 triệu đô la

Các báo cáo ban đầu từ các công ty bảo mật cho thấy rằng một vụ tấn công liên quan đến giao thức DeFi Yearn Finance đã diễn ra. Theo PeckShield, quy mô khai thác được ước tính vào khoảng 10 triệu USD.

Dữ liệu cho thấy tổng thiệt hại có thể lên tới hơn 11 triệu đô la.

Theo LookOnChain, kẻ tán công đã nhận được nhiều loại stablecoin, bao gồm DAI, USDC, BUSD, TUSD và USDT.

An exploiter attacked @iearnfinance and @AaveAave.

The exploiter got over $10M in stablecoins.

Including:

– 3,032,142 $DAI
– 2,579,483 $USDC
– 1,785,091 $BUSD
– 1,512,528 $TUSD
– 1,193,756 $USDThttps://t.co/nT0PhL1cDC pic.twitter.com/ukOQagk1n5

— Lookonchain (@lookonchain) April 13, 2023

Nhà nghiên cứu tiền điện tử có bút danh Samczsun tuyên bố rằng phiên bản USDT của Yearn Finance, được gọi là yUSDT, đã có dấu hiệu bất thường kể từ khi nó được triển khai khoảng ba năm trước,”đã bị định cấu hình sai để sử dụng token Fulcrum iUSDC thay vì token Fulcrum iUSDT.”

PeckShield đã chứng thực ý tưởng này. Nó nói rằng căn nguyên vấn đề dường như là do yUSDT bị định cấu hình sai. Điều này đã bị lợi dụng để đúc 1,2 triệu tỷ yUSDT chỉ từ 10.000 đô la. Số tiền này sau đó đã được rút ra bằng cách hoán đổi sang các stablecoin khác.

It appears the root cause is due to the misconfigured yUSDT, which is exploited to mint huge yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. The huge yUSDT is then cashed out by swapping to other stable coins. https://t.co/Qz3vwtbcot pic.twitter.com/xlsc2Nlmle

— PeckShield Inc. (@peckshield) April 13, 2023

Trong khi đó, cuộc tấn công đã sử dụng giao thức Aave V1 để thực hiện một loạt các giao dịch hoán đổi nhưng nhóm Aave cho rằng giao thức này không bị khai thác.

“Không ảnh hưởng đến Aave V3, Aave V2 và rất có thể cũng không ảnh hưởng đến Aave V1, hãy chú ý theo dõi,” Giám đốc điều hành Aave Stani Kulechov cho biết trên Twitter.

Trưởng nhóm tích hợp Aave, Marc Zeller, cho biết trong một tweet rằng tác động đối với giao thức bị hạn chế do phiên bản 1 “đã bị đóng băng kể từ tháng 12 năm 2022, vì vậy không người dùng nào có thể gửi hoặc tăng quy mô khoản vay khiến vấn đề khó xảy ra nhưng không phải là không thể xảy ra”.

“Kích thước hiện tại của V1 là 18 triệu đô la và kích thước hiện tại của mô-đun an toàn Aave là 382,50 triệu đô la – số tiền này có thể được sử dụng để bù đắp cho số tiền bị mất”.

PeckShield nói thêm:

“Chúng tôi cần làm rõ rằng nguyên nhân sâu xa là do yUSDT bị định cấu hình sai, không liên quan đến Aave”.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

• SushiSwap bị hack, ít nhất 3,3 triệu đô la bị đánh cắp
• Sàn GDAC của Hàn Quốc đã tạm dừng gửi và rút tiền sau khi bị hack 13 triệu đô la

Annie

Tạp chí Bitcoin