DeFi 聚合器 Yearn 在今日遭到攻擊,損失金額超過 1 千萬美金,攻擊者盜走多種穩定幣,包含 DAI、USDC、BUSD、TUSD、USDT。
(前情提要:$LUNC遭疑「設局Rug Pull」!生態最大 Terraport 資產遭駭客盜空)
(背景補充:Messari 解析 Yearn 代幣經濟發展: YFI 價值捕獲到價值創造)
去中心化金融聚合器 Yearn 在今日遭到攻擊,損失金額超過 1 千萬美金,攻擊者將多種穩定幣,包含 DAI、USDC、BUSD、TUSD、USDT 竊走,區塊鏈安全數據公司 PeckShield 在推特上揭開這個可疑的交易,要求 Aave 和 Yearn 官方關注。
Hi @AaveAave @iearnfinance, you may want to take a look: https://t.co/61wSYHqwvs
— PeckShield Inc. (@peckshield) April 13, 2023
據區塊鏈安全審計公司 Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測給予動區訊息,本次攻擊是由於合約配置錯誤,導致 YUSDT 的大量增發所造成。攻擊者通過調用 Yearn 的 YUSDT 合約,並控制其中代幣餘額,使得池內值異常減少,而 pool 是作為除數參與鑄幣數量計算的,此時攻擊者鑄造了大量的 YUSDT,攻擊者使用這些 YUSDT 兌換成了其他穩定幣而離場。Beosin KYT 反洗錢分析平臺發現目前被盜資金部分被轉移到Tornado cash,其餘還儲存在駭客地址內。
Aave 受到影響可能性為 0
Aave 的創辦人 Stani 發布推文表示,在這次的攻擊中, Aave 的 V3 和 V2 完全沒有影響,V1 也是。
No impact on Aave V3, Aave V2 and most likely no impact on Aave V1 either, stay tuned https://t.co/lRThjABgVW
— Stani (@StaniKulechov) April 13, 2023
Aave Chan Initiative 創始人 Marc Zeller 在推特上為大家解釋:
Aave V1 自 2022 年 12 月以來一直被凍結,因此沒有用戶可以存入或增加借款規模,這使得被攻擊問題不太可能發生,但並非不可能。
他指出,Aave V1 目前的規模為 1800 萬美元,但該項目的風險基金有 3.825 億美元可用於彌補資金損失。
Yearn 前身 iearn 漏洞導致
據了解,此次攻擊事件中的目標是 Yearn 前身 2020 年的 iearn 金庫,對於當前 Yearn v2 也不受影響,Yearn 團隊也還在調查、修補漏洞。區塊鏈安全數據公司 PeckShield 再補充說明不是 Aave 問題:
看來根本原因是由於 yUSDT 的錯誤設置,它被利用來從 10,000 美元的 USDT 中鑄造出大量的 yUSDT(1,252,660,242,212,927.5)。大量的 yUSDT 再通過交換到其他穩定的硬幣來兌現。
📍相關報導📍
賠償BTC給受害客戶!最大比特幣ATM製造商 General Bytes:駭客事件不會重演