3 Millionen Dollar in ETH wurden nach einem offensichtlichen Angriff auf Yearns yETH an Tornado Cash gesendet

Das Yield-Farming-Protokoll Yearn Finance scheint Ziel eines Angriffs geworden zu sein, bei dem Millionen von Dollar an Liquid Staking Tokens (LSTs) aus seinem Yearn Ether (yETH)-Produkt abgezogen wurden, das beliebte LSTs in einem Token bündelt. 

Blockchain-Daten zeigen, dass der yETH-Pool offenbar durch einen sorgfältig konstruierten Exploit geleert wurde, bei dem eine nahezu unendliche Anzahl von yETH-Token geprägt wurde, wodurch der Pool in einer einzigen Transaktion geleert wurde. Infolge der Transaktion wurden 1.000 ETH (etwa 3 Millionen US-Dollar zum aktuellen Kurs) an das Mixing-Protokoll Tornado Cash gesendet.

Der Angriff schien mehrere frisch bereitgestellte Smart Contracts zu beinhalten, von denen einige nach der Transaktion selbst zerstört wurden, wie Blockchain-Daten zeigen. Das gesamte Ausmaß des finanziellen Verlusts war zunächst unklar, während der yETH-Pool vor dem Angriff einen Wert von etwa 11 Millionen US-Dollar hatte. 

Der Hack wurde zuerst vom X-Nutzer Togbe gemeldet, der The Block mitteilte, dass er den offensichtlichen Angriff beim Überwachen großer Transfers bemerkte. "Nettoübertragungen deuten darauf hin, dass yETH super mint dem Angreifer ermöglichte, den Pool für einen Gewinn von 1k ETH zu leeren", sagte Togbe in einer Nachricht. "Irgendwie wurden dabei auch andere ETH geopfert, aber sie haben trotzdem einen Gewinn erzielt."

"Wir untersuchen einen Vorfall im Zusammenhang mit dem yETH LST stableswap pool", schrieb Yearn auf X. "Yearn Vaults (sowohl V2 als auch V3) sind nicht betroffen."

In einer neuen Ankündigung, die am Sonntag um 23:10 Uhr veröffentlicht wurde, bestätigte Yearn, dass durch den Angriff 9 Millionen US-Dollar verloren gingen — 8 Millionen US-Dollar aus dem stableswap pool und 0,9 Millionen US-Dollar aus dem yETH-WETH stableswap pool auf Curve. Yearn teilte mit, dass eine vollständige Post-Mortem-Untersuchung in Zusammenarbeit mit SEAL 911 und ChainSecurity im Gange ist.

"Die erste Analyse deutet darauf hin, dass dieser Hack ein ähnlich hohes Komplexitätsniveau wie der kürzliche Balancer-Hack aufweist, daher bitten wir um Geduld, während wir die Post-Mortem-Analyse durchführen", schrieb Yearn in dem Beitrag. "Es gibt kein anderes Yearn-Produkt, das einen ähnlichen Code wie das betroffene verwendet."

Yearn Finance erlitt bereits 2021 einen Exploit, der seinen yDAI-Vault betraf, der 11 Millionen US-Dollar an Wert verlor, wobei der Hacker mit 2,8 Millionen US-Dollar davonkam. Im Dezember 2023 teilte das Protokoll mit, dass ein fehlerhaftes Skript 63 % einer seiner Treasury-Positionen vernichtete, aber keine Nutzerfonds betroffen waren. Andre Cronje, der Yearn 2020 gründete, verließ das Projekt zwei Jahre später. 

The Block konnte Yearn für eine Stellungnahme nicht sofort erreichen. Dies ist eine sich entwickelnde Geschichte. 

Story aktualisiert, um Yearns Folgeankündigung hinzuzufügen