Una vulnerabilità in una versione precedente dell’aggregatore di rendimento DeFi Yearn Finance è stata sfruttata il 13 aprile, causando la perdita di 11,6 milioni di dollari di liquidità sul protocollo iearn. Gli aggressori sono riusciti a emettere 1,2 quadrilioni di token sfruttando il token yUSDT, che è un token generatore di rendimento e che segue il saldo dello stablecoin USDT di un utente depositato nei contratti Yearn.
Questa mattina, alcune segnalazioni suggerivano che Aave, un altro popolare protocollo DeFi, fosse stato anch’esso sfruttato. Tuttavia, molti membri della comunità hanno rapidamente spiegato che il protocollo era stato utilizzato solo per scambiare una serie di token e non era stato direttamente colpito. Il delegato Marc Zeller ha prontamente dissipato il fud su Twitter, mentre il fondatore di Aave, Stani Kulechov, ha anche confermato la stessa cosa:
Una cattiva configurazione vecchia di 1.000 giorni all’origine dell’attacco hacker
Secondo il ricercatore di Paradigm, Samczsun, la vulnerabilità nel token yUSDT di Yearn era dovuta a una cattiva configurazione che coinvolgeva il token iUSDC di Fulcrum. Fulcrum è una piattaforma DeFi che consente agli utenti di prendere in prestito e prestare ETH e altri token ERC-20. Il token yUSDT è stato configurato erroneamente per utilizzare il token iUSDC di Fulcrum invece del token iUSDT, portando all’exploit che colpisce principalmente i detentori di token yUSDT e i partecipanti ai pool yUSD di Yearn Finance.
I danni causati dall’exploit erano limitati, poiché solo la versione precedente di Yearn Finance, iearn, era interessata. Questo è stato confermato da uno degli sviluppatori senior del progetto, Storm Blessed. Tuttavia, gli aggressori hanno già iniziato a prelevare ETH tramite il mixer Ethereum Tornado Cash. Secondo PeckShield, circa 1.000 ETH, del valore di circa 2 milioni di dollari, sono stati prelevati finora.
Due fatti interessanti sono da notare in questo attacco. Innanzitutto, gli utenti del protocollo Aave hanno beneficiato dell’attacco flash loan, poiché l’hacker ha dovuto rimborsare i loro prestiti per mettere in atto il suo piano, facendo alcuni felici nel processo. In secondo luogo, l’hacker avrebbe preso il tempo di creare un token ERC-20 chiamato FUCK YEARN oltre a creare una coppia con ETH e aggiungere liquidità per dare vita al token.
L’exploit di iearn, la vecchia versione di Yearn Finance, ci ricorda l’aumento degli attacchi nel settore DeFi. Mentre l’industria continua a espandersi e guadagnare popolarità, la sicurezza rimane una preoccupazione importante per gli sviluppatori e gli utenti. Per mantenere la fiducia e garantire la sostenibilità dell’ecosistema DeFi, è fondamentale che i protocolli diano priorità alle misure di sicurezza e monitorino attentamente le vulnerabilità potenziali.