تم اختراق الإصدار الأقدم من بروتوكول Yearn Finance واختلاس 11.6 مليون دولار في 13 أبريل بسبب ثغرة أمنية في توكن Yearn’s USDT ، yUSDT.
أشارت التقارير الأولية إلى أنه تم استغلال Aave أيضًا. لكن متحدثًا باسم Aave قال أنه تم استخدامه فقط لمبادلة مجموعة من التوكنز. كما أكد ستاني كوليتشوف، مؤسس شركة Aave، أن المشروع لم يتأثر بشكل مباشر.
يعد Aave أحد أقدم بروتوكولات الإقراض والاقتراض من DeFi. مما يتيح للمستخدمين كسب عائد لإيداع العديد من العملات المشفرة. Yearn Finance هو بروتوكول DeFi شائع آخر يجمع فرص العائد المختلفة من جميع أنحاء السوق في منصة واحدة.
رمز yUSDT هو توكن يراكم عائدًا يتتبع رصيد USDT الثابت للمستخدم المودع في عقود Yearn.
أشار الباحث في Paradigm، Samczsun. “لقد تم تكوينه بشكل خاطئ لاستخدام توكن Fulcrum’s iUSDC بدلاً من توكن Fulcrum’s iUSDT”. Fulcrum هي عبارة عن منصة DeFi تتيح للمستخدمين استعارة وإقراض ETH وتوكنز ERC-20 الأخرى.
كان الضرر محدودًا نظرًا لأنه تم استغلال الإصدارات القديمة فقط من Yearn. كما أكد أحد كبار مطوري المشروع Storm Blessed 0x.
بدأ المهاجمون بالفعل في سحب ETH من خلال خلاط Ethereum Tornado Cash. حيث تم سحب 1000 ETH بقيمة حوالي 1.9 مليون دولار بالفعل، لكل PeckShield.
أصبحت مثل هذه الهجمات شائعة في قطاع DeFi. في مارس، تم استغلال بروتوكول Euler Finance. وهو بروتوكول إقراض واقتراض آخر. مقابل 200 مليون دولار تقريبًا عبر مجموعة متنوعة من العملات المشفرة. بعد فترة وجيزة، تم اختراق Sushiswap، وهي منصة تداول كريبتو لامركزية، مقابل 3.3 مليون دولار.
نجح فريق Euler في التفاوض على إعادة غالبية الأموال. كما قام SushiSwap أيضًا بطرح خطة استرداد للمستخدمين المتأثرين.