DeFi 聚合器 Yearn 在今日遭到攻击,损失金额超过 1 千万美金,攻击者盗走多种稳定币,包含 DAI、USDC、BUSD、TUSD、USDT。前情提要:LUNC遭疑设局Rug Pull!生态最大 Terraport 资产遭骇客盗空背景补充:Messari 解析 Yearn 代币经济发展: YFI 价值捕获到价值创造
okcoin官网网页版去中心化金融聚合器 Yearn 在今日遭到攻击,损失金额超过 1 千万美金,攻击者将多种稳定币,包含 DAI、USDC、BUSD、TUSD、USDT 窃走,区块链安全数据公司 PeckShield 在推特上揭开这个可疑的交易,要求 Aave 和 Yearn 官方关注。
Hi @AaveAave @iearnfinance you may want to take a look https//tco/61wSYHqwvs
mdash PeckShield Inc (@peckshield) April 13 2023
据区块链安全审计公司 Beosin 旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测给予动区讯息,本次攻击是由于合约配置错误,导致 YUSDT 的大量增发所造成。攻击者通过调用 Yearn 的 YUSDT 合约,并控制其中代币余额,使得池内值异常减少,而 pool 是作为除数参与铸币数量计算的,此时攻击者铸造了大量的 YUSDT,攻击者使用这些 YUSDT 兑换成了其他稳定币而离场。Beosin KYT 反洗钱分析平台发现目前被盗资金部分被转移到Tornado cash,其余还储存在骇客地址内。
Aave 受到影响可能性为 0Aave 的创办人 Stani 发布推文表示,在这次的攻击中, Aave 的 V3 和 V2 完全没有影响,V1 也是。
No impact on Aave V3 Aave V2 and most likely no impact on Aave V1 either stay tuned https//tco/lRThjABgVW
mdash Stanilens () (@StaniKulechov) April 13 2023
Aave Chan Initiative 创始人 Marc Zeller 在推特上为大家解释:
Aave V1 自 2022 年 12 月以来一直被冻结,因此没有用户可以存入或增加借款规模,这使得被攻击问题不太可能发生,但并非不可能。
他指出,Aave V1 目前的规模为 1800 万美元,但该项目的风险基金有 3825 亿美元可用于弥补资金损失。
Yearn 前身 iearn 漏洞导致据了解,此次攻击事件中的目标是 Yearn 前身 2020 年的 iearn 金库,对于当前 Yearn v2 也不受影响,Yearn 团队也还在调查、修补漏洞。区块链安全数据公司 PeckShield 再补充说明不是 Aave 问题:
看来根本原因是由于 yUSDT 的错误设置,它被利用来从 10000 美元的 USDT 中铸造出大量的 yUSDT12526602422129275。大量的 yUSDT 再通过交换到其他稳定的硬币来兑现。
相关报导赔偿BTC给受害客户!最大比特币ATM制造商 General Bytes:骇客事件不会重演
MicroStrategy再进击!征才准备打造比特币闪电网路SaaS平台
重磅!Michael Saylor辞去微策略CEO;MicroStrategy Q2比特币减值918亿美元
