去中心化金融聚合器Yearn在今日遭到攻击,损失金额超过1千万美金,攻击者将多种稳定币,包含DAI、USDC、BUSD、TUSD、USDT窃走,区块链安全数据公司PeckShield在推特上揭开这个可疑的交易,要求Aave和Yearn官方关注。
据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测给予讯息,本次攻击是由于合约配置错误,导致YUSDT的大量增发所造成。攻击者通过调用Yearn的YUSDT合约,并控制其中代币余额,使得池内值异常减少,而pool是作为除数参与铸币数量计算的,此时攻击者铸造了大量的YUSDT,攻击者使用这些YUSDT兑换成了其他稳定币而离场。Beosin KYT反洗钱分析平台发现目前被盗资金部分被转移到Tornado cash,其余还储存在黑客地址内。
Aave受到影响可能性为0
Aave的创办人Stani发布推文表示,在这次的攻击中,Aave的V3和V2完全没有影响,V1也是。
Aave ChanInitiative创始人Marc Zeller在推特上为大家解释:Aave V1自2022年12月以来一直被冻结,因此没有用户可以存入或增加借款规模,这使得被攻击问题不太可能发生,但并非不可能。
他指出,Aave V1目前的规模为1800万美元,但该项目的风险基金有3.825亿美元可用于弥补资金损失。
Yearn前身iearn漏洞导致
据了解,此次攻击事件中的目标是Yearn前身2020年的iearn金库,对于当前Yearn v2也不受影响,Yearn团队也还在调查、修补漏洞。区块链安全数据公司PeckShield再补充说明不是Aave问题:看来根本原因是由于yUSDT的错误设置,它被利用来从10,000美元的USDT中铸造出大量的yUSDT(1,252,660,242,212,927.5)。大量的yUSDT再通过交换到其他稳定的硬币来兑现。