3 triệu đô la ETH đã được gửi đến Tornado Cash sau vụ tấn công dường như nhằm vào Yearn's yETH

Giao thức yield-farming Yearn Finance dường như đã trở thành mục tiêu của một cuộc tấn công, khiến hàng triệu đô la giá trị token staking thanh khoản (LSTs) bị rút khỏi sản phẩm Yearn Ether (yETH) của mình, sản phẩm này tổng hợp các LSTs phổ biến thành một token duy nhất. 

Dữ liệu blockchain cho thấy pool yETH dường như đã bị rút cạn thông qua một lỗ hổng được tạo ra cẩn thận, cho phép mint ra số lượng gần như vô hạn token yETH, rút cạn pool chỉ trong một giao dịch duy nhất. Kết quả của giao dịch này là 1.000 ETH (trị giá khoảng 3 triệu đô la theo giá hiện tại) đã được gửi đến giao thức trộn Tornado Cash.

Cuộc tấn công dường như liên quan đến một số smart contract mới được triển khai, trong đó một số đã tự hủy sau giao dịch, theo dữ liệu blockchain. Quy mô tổng thể của thiệt hại tài chính ban đầu chưa rõ ràng, trong khi pool yETH có giá trị khoảng 11 triệu đô la trước khi bị tấn công. 

Vụ hack đầu tiên được phát hiện bởi người dùng X có tên Togbe, người đã nói với The Block rằng họ nhận thấy cuộc tấn công khi theo dõi các giao dịch lớn. "Các giao dịch ròng cho thấy yETH super mint đã cho phép kẻ tấn công rút cạn pool để thu về 1k ETH," Togbe cho biết trong một tin nhắn. "Bằng cách nào đó, một số ETH khác đã bị hy sinh trong vụ này nhưng họ vẫn thu được lợi nhuận."

"Chúng tôi đang điều tra một sự cố liên quan đến pool stableswap yETH LST," Yearn viết trên X. "Các Yearn Vaults (cả V2 và V3) không bị ảnh hưởng."

Trong một thông báo mới được công bố lúc 11:10 tối Chủ nhật, Yearn xác nhận đã mất 9 triệu đô la do vụ tấn công — 8 triệu đô la từ pool stableswap và 0,9 triệu đô la từ pool stableswap yETH-WETH trên Curve. Yearn cho biết một cuộc điều tra hậu kiểm toàn diện đang được tiến hành, phối hợp cùng SEAL 911 và ChainSecurity.

"Phân tích ban đầu cho thấy vụ hack này có mức độ phức tạp cao tương tự như vụ hack Balancer gần đây, vì vậy xin hãy kiên nhẫn khi chúng tôi thực hiện phân tích hậu kiểm," Yearn viết trong bài đăng. "Không có sản phẩm Yearn nào khác sử dụng mã tương tự như phần bị ảnh hưởng."

Yearn Finance từng bị khai thác vào năm 2021, ảnh hưởng đến vault yDAI, khiến giá trị bị mất 11 triệu đô la, trong đó hacker lấy đi 2,8 triệu đô la. Vào tháng 12 năm 2023, giao thức cho biết một script bị lỗi đã xóa sạch 63% một vị thế kho bạc của mình, nhưng không có quỹ người dùng nào bị ảnh hưởng. Andre Cronje, người sáng lập Yearn vào năm 2020, đã rời dự án hai năm sau đó. 

The Block hiện chưa thể liên hệ với Yearn để lấy bình luận. Đây là một câu chuyện đang phát triển. 

Câu chuyện đã được cập nhật để bổ sung thông báo tiếp theo của Yearn