Uma exploração envolvendo uma versão inicial do protocolo de finanças descentralizadas (DeFi) Yearn Finance, chamada “iearn”, ocorreu nesta quinta-feira (13) e resultou em uma perda de US$ 11,6 milhões, de acordo com a PeckShield. Ou seja, cerca de R$ 57 milhões na cotação atual em reais.
De acordo com a empresa de segurança blockchain Lookonchain, os milhões roubados estão em stablecoins DAI, USDC , BUSD, TUSD e USDT. Foram 3.032.142 DAI, 2.579.483 USDC, 1.785.091 BUSD, 1.512.528 TUSD e 1.193.756 USDT.
Ataque ao Yearn Finance
Segundo a equipe da PeckShield, a causa raiz da exploração parece ser o yUSDT, um token de “acúmulo de rendimento” que rastreia o saldo da stablecoin USDT de um usuário depositado em contratos no Yearn Finance.
Isso quer dizer que o responsável pelo ataque explorou uma vulnerabilidade no token, que estava mal configurado. Com isso, o agente mal-intencionado conseguiu cunhar 1,2 quatrilhão de yUSDT a partir de apenas US$ 10.000. Então, ele conseguiu trocar os ativos por stablecoins e sacá-los.
O pesquisador de cripto conhecido como Samczsun confirmou essa história e afirmou que a versão do USDT da Yearn Finance, a yUSDT, está com problemas desde a sua implantação há cerca de três anos.
Invasor usou o Aave V1, mas não o explorou
O ataque fez uso do protocolo Aave V1 para fazer uma grande variedade de trocas. No entanto, a Aave disse que o protocolo não foi afetado.
“Nós estamos cientes dessa transação e ela não teve impacto no Aave V2 e no Aave V3. Agora estamos confirmando se há algum impacto no Aave V1, a versão mais antiga do protocolo que foi congelada. Estamos monitorando a situação de perto para garantir que não haja mais preocupações”, tuitou a equipe.
Em seguida, eles confirmaram que o ataque também não afetou a V1: “Podemos confirmar que o Aave V1 não foi afetado.”
Ainda segundo a PeckShield, os responsáveis pelo ataque já começaram a “lavar” os ativos meio do misturador no Ethereum Tornado Cash, com 1.000 ETH no valor de cerca de US$ 1,9 milhão já retirados.
O Aave é um dos mais populares e antigos protocolos de empréstimo do setor de DeFi. O protocolo permite que os usuários ganhem rendimento ao depositar várias criptomoedas. Enquanto isso, o Yearn Finance é outro protocolo DeFi popular que agrega várias funções de rendimento em uma só plataforma.