Протокол Yearn Finance потерял $9 млн в результате хакерской атаки

• Эксплойт затронул пул yETH, объединяющий несколько LST.
• Злоумышленник провел часть средств через миксер Tornado Cash.
• Yearn подтвердил потери на $9 млн и начал расследование.

Протокол Yearn Finance столкнулся с хакерской атакой, в результате которой были украдены активы из пула yETH. Это индексный продукт, объединяющий несколько популярных LST в один актив.

По информации аналитиков, злоумышленник смог использовать уязвимость, которая позволила ему опустошить пул одной транзакцией.

Как показывают данные, после эксплойта примерно 1000 ETH — около $3 млн — были проведены через сервис Tornado Cash. Несколько смарт-контрактов, использованных в атаке, были созданы незадолго до транзакции, а затем самоуничтожились.

До взлома объем активов в пуле yETH составлял около $11 млн, но точный объем ущерба изначально был неизвестен.

Одним из первых об инциденте сообщил исследователь, известный под псевдонимом Togbe. По его словам, взлом связан с функцией «Super Mint», которая позволила злоумышленнику получить чрезмерный объем yETH и вывести средства. Исследователь отметил, что часть Ethereum была утрачена внутри цепочки вызовов, однако итоговая выгода злоумышленника все равно составила около 1000 ETH.

В публикации в соцсети X (ранее Twitter) команда Yearn сообщила, что расследует атаку и что ее хранилища V2 и V3 не пострадали.

Позднее протокол уточнил, что общие потери составляют $9 млн. Из них $8 млн украдены из пула стейблкоинов и еще $0,9 млн — из пула yETH-WETH. Расследование проводится совместно с SEAL 911 и ChainSecurity.

По словам Yearn, эксплойт отличается высоким уровнем сложности и напоминает атаку на протокол Balancer. Команда готовит полный отчет и призвала пользователей дождаться итогового анализа.

Протокол