Yearn Finance bị hack, thiệt hại hơn 11 triệu USD

Theo nền tảng bảo mật blockchain PeckShield, giao thức DeFi Yearn Finance vừa bị tấn công vào trưa ngày 13/4 dẫn đến thiệt hại khoảng 11.6 triệu USD.

quynhnt

Published Apr 13 2023

3 min read

Theo LookOnChain, hacker đã bòn rút nhiều loại stablecoin từ vụ tấn công, bao gồm DAI, USDC, BUSD, TUSD và USDT.

https://twitter.com/lookonchain/status/1646404007051800576

Nhà nghiên cứu crypto có biệt danh Samczsun cho biết phiên bản USDT của Yearn Finance hay còn được gọi là yUSDT đã gặp lỗi kể từ khi bắt đầu được triển khai vào khoảng ba năm trước. Ông cũng nhấn mạnh rằng cấu hình của yUSDT bị sai dẫn đến việc nền tảng sử dụng token Fulcrum iUSDC thay vì Fulcrum iUSDT.

Theo đó, PeckShield cũng đưa ra dẫn chứng tương tự Samczsun. Nền tảng này lập luận rằng nguyên nhân ban đầu dẫn đến vụ tấn công của Yearn Finance là do yUSDT bị định cấu hình sai.

It appears the root cause is due to the misconfigured yUSDT, which is exploited to mint huge yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. The huge yUSDT is then cashed out by swapping to other stable coins. https://t.co/Qz3vwtbcot pic.twitter.com/xlsc2Nlmle
— PeckShield Inc. (@peckshield) April 13, 2023

Điều này dẫn đến việc 1.2 triệu yUSDT đã được đúc từ 10,000 USD. Số tiền này sau đó đã được hacker rút ra bằng cách hoán đổi sang các stablecoin khác.

"Yearn v2 vaults dường như không bị ảnh hưởng. Đội ngũ Yearn đang điều tra về vụ việc”, người dùng Twitter có tên Storm Blessed 0x - đại diện từ Yearn Finance cho biết.

We are aware of an issue that seems isolated to the iearn legacy protocol launched in 2020 and liquidity pool.

Yearn v2 vaults seem not to be impacted.

Yearn contributors are investigating.

Further comms to follow on main account. https://t.co/CKddWwjFj8
— Storm Blessed 0x 🇯🇵 (@storming0x) April 13, 2023

Cuộc tấn công mới đây trên Yearn Finance đã sử dụng giao thức Aave V1 để thực hiện một loạt các giao dịch hoán đổi. Tuy nhiên, phía Aave vẫn khẳng định nền tảng này không bị hack và chịu bất kỳ ảnh hưởng nào.

"Chúng tôi có thể xác nhận rằng Aave V1 không bị ảnh hưởng," Stani Kulechov - Giám đốc điều hành của Aave chia sẻ trên Twitter.

No impact on Aave V3, Aave V2 and most likely no impact on Aave V1 either, stay tuned https://t.co/lRThjABgVW
— Stani.lens (🌿,👻) (@StaniKulechov) April 13, 2023

Yearn Finance (YFI) là nền tảng liquidity aggregator, cung cấp bộ sản phẩm trong tài chính phi tập trung (DeFi) với những tính năng như tổng hợp cho vay (lending/borrowing), tạo lợi nhuận (yield) và bảo hiểm (Cover) trên chuỗi khối Ethereum. Giao thức được duy trì bởi các nhà phát triển độc lập khác nhau và được quản lý bởi các chủ sở hữu YFI.

Hiện đội ngũ PeckShield đang cố gắn điều tra làm rõ nguyên nhân dẫn đến việc yUSDT sai cấu hình và các mối liên quan đến Aave.

We need to clarify that the root cause is due to misconfigured yUSDT, not related to @AaveAave. https://t.co/XjI9UhbOZf
— PeckShield Inc. (@peckshield) April 13, 2023

Sau vụ tấn công, giá của YFI - token quản trị của hệ sinh thái Yearn Finance có xu hướng sụt giảm. Hiện token này đang được giao dịch với giá 9.028 USD, giảm 1.5% trong 24h qua (theo CoinGecko).

yfi — Giá YFI sụt giảm sau vụ tấn công. Nguồn: CoinGecko.

Đọc thêm: Ramper - dự án Coin98 đầu tư chiến lược có gì nổi bật?