3 миллиона долларов в ETH отправлены в Tornado Cash после предполагаемой атаки на Yearn's yETH

Протокол yield-farming Yearn Finance, по-видимому, стал объектом атаки, в результате которой были выведены миллионы долларов в ликвидных стейкинговых токенах (LST) из его продукта Yearn Ether (yETH), который агрегирует популярные LST в один токен. 

Данные блокчейна показывают, что пул yETH был, по всей видимости, опустошён с помощью тщательно спланированной уязвимости, позволившей сгенерировать практически бесконечное количество токенов yETH и вывести ликвидность пула за одну транзакцию. В результате этой транзакции 1 000 ETH (примерно $3 миллиона по текущему курсу) были отправлены в миксер Tornado Cash.

Судя по данным блокчейна, в атаке участвовали несколько только что развернутых смарт-контрактов, некоторые из которых самоуничтожились после транзакции. Общий масштаб финансовых потерь изначально был неясен, при этом до атаки в пуле yETH находилось около $11 миллионов. 

Первым на взлом обратил внимание пользователь X по имени Togbe, который сообщил The Block, что заметил подозрительную активность при мониторинге крупных переводов. "Чистые переводы указывают на то, что yETH super mint позволил атакующему опустошить пул и получить прибыль в размере 1k ETH", — написал Togbe в сообщении. "Каким-то образом были принесены в жертву и другие ETH, но злоумышленник всё равно остался в плюсе."

"Мы расследуем инцидент, связанный с пулом yETH LST stableswap", — написали представители Yearn в X. "Yearn Vaults (как V2, так и V3) не затронуты."

В новом объявлении, опубликованном в воскресенье в 23:10, Yearn подтвердил, что в результате атаки было потеряно $9 миллионов — $8 миллионов из пула stableswap и $0,9 миллиона из пула yETH-WETH stableswap на Curve. Yearn сообщил, что проводится полное посмертное расследование инцидента в сотрудничестве с SEAL 911 и ChainSecurity.

"Первичный анализ показал, что эта атака имеет схожий высокий уровень сложности с недавним взломом Balancer, поэтому просим отнестись с пониманием к времени, необходимому для проведения расследования," — написали представители Yearn в посте. "Ни один другой продукт Yearn не использует код, аналогичный затронутому."

Yearn Finance уже подвергался эксплойту в 2021 году, когда был затронут его yDAI vault, потерявший $11 миллионов, из которых хакер вывел $2,8 миллиона. В декабре 2023 года протокол сообщил, что из-за ошибочного скрипта было уничтожено 63% одной из его казначейских позиций, однако средства пользователей не пострадали. Андре Кронье, основавший Yearn в 2020 году, покинул проект спустя два года. 

The Block не удалось оперативно получить комментарий от Yearn. История развивается. 

История обновлена с добавлением последующего объявления Yearn