3 milioni di dollari in ETH inviati a Tornado Cash dopo un apparente attacco a Yearn's yETH

Sembra che il protocollo di yield-farming Yearn Finance sia stato preso di mira da un attacco che ha prosciugato milioni di dollari in liquid staking tokens (LSTs) dal suo prodotto Yearn Ether (yETH), che aggrega i principali LSTs in un unico token. 

I dati della blockchain mostrano che il pool yETH è stato apparentemente svuotato tramite un exploit accuratamente progettato che ha permesso di coniare un numero quasi infinito di token yETH, svuotando il pool in una sola transazione. Come risultato della transazione, 1.000 ETH (per un valore di circa 3 milioni di dollari ai prezzi attuali) sono stati inviati al protocollo di mixing Tornado Cash.

L'attacco sembra aver coinvolto diversi smart contract appena distribuiti, alcuni dei quali si sono autodistrutti dopo la transazione, secondo i dati della blockchain. L'entità totale della perdita finanziaria non era inizialmente chiara, mentre il pool yETH aveva un valore di circa 11 milioni di dollari prima dell'attacco. 

L'hack è stato segnalato per la prima volta dall'utente X Togbe, che ha detto a The Block di aver notato l'apparente attacco mentre monitorava grandi trasferimenti. "I trasferimenti netti suggeriscono che la super mint di yETH ha permesso all'attaccante di svuotare il pool per un guadagno di 1k ETH," ha detto Togbe in un messaggio. "In qualche modo altro ETH è stato sacrificato in questo, ma sono comunque riusciti a ottenere un profitto."

"Stiamo indagando su un incidente che coinvolge il pool stableswap yETH LST," ha scritto Yearn su X. "I Vaults di Yearn (sia V2 che V3) non sono stati colpiti."

In un nuovo annuncio pubblicato alle 23:10 di domenica, Yearn ha confermato di aver perso 9 milioni di dollari a causa dell'attacco — 8 milioni dal pool stableswap e 0,9 milioni dal pool stableswap yETH-WETH su Curve. Yearn ha dichiarato che è in corso una completa indagine post-mortem, in collaborazione con SEAL 911 e ChainSecurity.

"L'analisi iniziale indica che questo hack ha un livello di complessità simile a quello del recente hack di Balancer, quindi vi chiediamo di pazientare mentre svolgiamo l'analisi post-mortem," ha scritto Yearn nel post. "Nessun altro prodotto Yearn utilizza un codice simile a quello colpito."

Yearn Finance ha subito un exploit nel 2021 che ha colpito il suo vault yDAI, che ha perso 11 milioni di dollari in valore, con l'hacker che è riuscito a sottrarre 2,8 milioni di dollari. Nel dicembre 2023, il protocollo ha dichiarato che uno script difettoso ha cancellato il 63% di una delle sue posizioni di tesoreria, ma nessun fondo degli utenti è stato colpito. Andre Cronje, che ha fondato Yearn nel 2020, ha lasciato il progetto due anni dopo. 

The Block non è riuscito a contattare immediatamente Yearn per un commento. Questa è una notizia in via di sviluppo. 

Storia aggiornata per aggiungere il successivo annuncio di Yearn