۱۱.۶ میلیون دلار از داراییهای نسخه قدیمی Yearn Finance به سرقت رفت
پلتفرم محبوب مالی غیرمتمرکز، یرن فایننس ( Yearn Finance)، اخیراً با استفاده از پروتکل نقدینگی منبع باز آوه (Aave) هک شده است. بر اساس دادههای زنجیرهای، هکر تاکنون بیش از ۱۱.۵ میلیون دلار استیبل کوین را جابهجا کرده است.
Aave یکی از قدیمیترین پروتکلهای وام دهی و استقراض DeFi است که به کاربران اجازه میدهد برای سپردهگذاری ارزهای دیجیتال مختلف سود کسب کنند. Yearn Finance یکی دیگر از پروتکلهای محبوب DeFi است که فرصتهای بازدهی مختلف را از سراسر بازار در یک پلتفرم واحد جمع میکند.
توکن yUSDT یک توکن با بازده است که موجودی استیبل کوین USDT کاربر را که در قراردادها سپرده شده است، ردیابی میکند.
طبق دادههای زنجیرهای، هکر نسخه یک آوه برای دریافت ۳.۰۲ میلیون DAI، ۲.۵۷ میلیون USDC، ۱.۷۸ میلیون دلار، ۱.۵۱ میلیون تومان و ۱.۱۹ میلیون USDT، و داراییهای دیگر دزدیده است. هکر از تورنادو کش (Tornado Cash) برای از بین بردن مسیر ردیابی وجوه دزدیده شده استفاده کرد.
Samczsun، محقق پارادایم، خاطرنشان کرد: «برای استفاده از توکن iUSDC Fulcrum به جای توکن iUSDT Fulcrum، اشتباه پیکربندی شده بود. Fulcrum یک پلتفرم DeFi است که به کاربران اجازه می دهد ETH و سایر توکن های ERC-20 را قرض و قرض دهند.
به گفته محقق امنیتی مستعار و مشارکت کننده سالین فاینانس، Stormming0x، هکر از پروتکل iearn استفاده کرده است که در سال ۲۰۲۰ راهاندازی شد. Stormming0x در حساب توییتری خود نوشت:
به نظر می رسد در پروتکل میراث iearn که در سال ۲۰۲۰ راه اندازی شد و استخر نقدینگی جدا شده است. اما خزانههای نسخه دوم Yearn تأثیر قرار نگرفتهاند. داراییهای کاربران Yearn در حال بررسی است.
شرکت امنیتی بلاک چین OtterSec بیان کرد که هکر برخی از وامهای USDT را در آوه بازپرداخت کرده و سپس «توکن yUSDT را مجدداً واریز کرد». علاوه بر این، هکر از Curve’s y Swap برای به دست آوردن استیبل کوینهای واقعی با استفاده از yUSDT که پیکربندی نادرستی دارد، استفاده کرد.
البته، یکی از توسعه دهندگان ارشد Storm Blessed 0x تایید کرد که آسیب محدود بود زیرا فقط نسخههای قدیمی Yearn مورد سوء استفاده قرار گرفتهاند.
پیشنهاد مطالعه: پروتکل Aave یکی از پیشگامان صنعت غیر متمرکز مالی (دیفای)