Una versión antigua del protocolo Yearn Finance fue hackeada por $11,6 millones el 13 de abril debido a una vulnerabilidad en el token USDT de Yearn, yUSDT.

Los informes iniciales sugerían que Aave también fue explotado, pero un portavoz de Aave le dijo a Decrypt que solo se utilizó para intercambiar una serie de tokens. El fundador de Aave, Stani Kulechov, también confirmó que el proyecto no se vio afectado directamente.

Aave es uno de los protocolos de préstamos y financiamiento más antiguos de DeFi, que permite a los usuarios obtener rendimientos al depositar diversas criptomonedas. Yearn Finance es otro protocolo DeFi popular que agrega varias oportunidades de rendimiento del mercado en una sola plataforma.

El token yUSDT es un token que acumula rendimientos y sigue el saldo de la stablecoin USDT de un usuario depositada en los contratos de Yearn.

"Se configuró incorrectamente para usar el token iUSDC de Fulcrum en lugar del token iUSDT de Fulcrum", señaló el investigador de Paradigm, Samczsun. Fulcrum es una plataforma DeFi que permite a los usuarios pedir prestado y prestar ETH y otros tokens ERC-20.

El daño fue limitado ya que solo se explotaron las versiones antiguas de Yearn, confirmó uno de los desarrolladores principales del proyecto, Storm Blessed 0x.

Los atacantes ya comenzaron a retirar ETH a través del mezclador Ethereum Tornado Cash, con 1.000 ETH por un valor de aproximadamente $1,9 millones retirados ya, según PeckShield.

Los ataques como este se han vuelto comunes en el sector DeFi.

En marzo, Euler Finance, otro protocolo de préstamos y financiamiento, fue explotado por casi $200 millones en una variedad de criptomonedas. Poco después, Sushiswap, un intercambio de criptomonedas descentralizado, fue hackeado por $3,3 millones.

El equipo de Euler negoció con éxito la devolución de la mayoría de los fondos y SushiSwap también ha implementado un plan de recuperación para los usuarios afectados.

Nota del editor: Este artículo fue actualizado el 13 de abril de 2023 a las 8:30 am ET para reflejar que Aave no fue explotado, sino que se utilizó para intercambiar tokens durante el ataque.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.