Децентрализованный DeFi-протокол Yearn Finance стал жертвой хакерской атаки, в ходе которой злоумышленники похитили криптоактивы на сумму $9 млн, сообщили аналитики блокчейн-аудиторской компании PeckShield.
По их данным, эксплойт стал возможен из‑за критической уязвимости в смарт-контракте yETH — компоненте протокола, предназначенного для обеспечения ликвидности. Уязвимость позволила хакерам неограниченно генерировать токены yETH, не внося при этом никакого реального обеспечения. Получив «виртуальные» активы, злоумышленники мгновенно обменяли их на настоящие криптоактивы из пула в сети Ethereum, полностью исчерпав его резервы.
Для сокрытия следов кражи средства были направлены в миксер Tornado Cash, известный своей способностью затруднять отслеживание транзакций. Эксперты также отметили, что непосредственно перед атакой были развернуты несколько вспомогательных смарт-контрактов, которые использовались лишь раз — в момент эксплуатации уязвимости — и сразу же самоуничтожились, чтобы замести цифровые следы.
Представители Yearn Finance подтвердили факт взлома и сообщили, что запустили внутреннее расследование совместно с внешними экспертами по безопасности. Команда изучает детали атаки, чтобы выяснить, затронула ли уязвимость другие компоненты протокола, и оценить возможный ущерб помимо уже украденных $9 млн.
