El protocolo de finanzas descentralizadas (DeFi) Yearn Finance, sufrió un ataque por valor de 11,6 millones de dólares el 13 de abril después de que un hacker acuñara 1 cuatrillón de yUSDT tras explotar un antiguo contrato de Yearn Finance, según un informe de PeckShield.
The loss of today's @iearnfinance yUSDT hack is ~$11.6m.
As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT – https://t.co/sYuEuiBhAo – to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu
— PeckShield Inc. (@peckshield) April 13, 2023
Posteriormente, el hacker transfirió con éxito 1.000 Ether por valor de casi 2 millones de dólares al mezclador de criptomonedas Tornado Cash.
Sin embargo, la empresa de seguridad blockchain PeckShield desveló que el hacker cambió los yUSDT por otras stablecoins. Entre ellas, 61.000 Pax Dollar (USDP), 1,5 millones de TrueUSD (TUSD) y 1,79 millones de Binance USD.
Otras incluyen 1,2 millones de Tether (USDT), 2,58 millones de USD Coin (USDC) y 3 millones en DAI.
Debido al desarrollo, PeckShield notificó a los protocolos DeFi Aave y Yearn Finance lo sucedido.
Hi @AaveAave @iearnfinance, you may want to take a look: https://t.co/61wSYHqwvs
— PeckShield Inc. (@peckshield) April 13, 2023
Posteriormente, la plataforma de préstamos Yearn Finance señaló que el ataque se limitaba a iearn, que era un contrato obsoleto entre Vaults V1 y V2. Además, afirmó que el contrato actual de Yearn Finance no se había visto afectado.
We're looking into an issue with iearn, an outdated contract from before Vaults v1 and v2.
This problem seems exclusive to iearn and does not impact current Yearn contracts or protocols.
iearn is an immutable contract predating YFI, it was deprecated in 2020.
Vaults v1, with…
— yearn (@iearnfinance) April 13, 2023
El pirateo se llevó a cabo aprovechando una vulnerabilidad en la bóveda v1 de Yearn Finance, que llevaba varios meses sin utilizarse.
El pirata pudo depositar una pequeña cantidad de DAI y tomar prestada una cantidad mucho mayor de yDAI, que luego cambió por tokens yUSDT. Con estos yUSDT, el hacker pudo acuñar la astronómica cifra de un cuatrillón de tokens.
Mientras tanto, el protocolo de liquidez Aave reconoció el hackeo y declaró además que no tiene ningún impacto en su Aave V1, V2 o V3.
We are aware of this transaction, and it did not have an impact on Aave V2 and Aave V3.
We are now confirming whether there is any impact on Aave V1, the oldest version of the protocol which has been frozen. We're monitoring the situation closely to ensure no further concerns. https://t.co/uM9wtLNJMl
— Aave (@AaveAave) April 13, 2023
Seguridad de los Protocolos DeFi Ante el Aumento de los Ataques
Existe una necesidad imperiosa de reforzar la seguridad de los protocolos financieros descentralizados (DeFi) en medio del aumento de los ataques.
Aunque el hackeo fue un revés significativo para Yearn Finance, pone de relieve la importancia de mantener la seguridad de los smart contracts, en particular los que ya no están en uso.
Más que en cualquier otro momento, los protocolos DeFi deben permanecer vigilantes y llevar a cabo auditorías periódicas de todos sus contratos para evitar posibles exploits. Según el informe de CertiK, ya se han perdido más de 320 millones de dólares por hackeos en 2023.
Over $300M was lost in Q1 of this year.. so let's break it down
–#Euler Finance exploit.. what went wrong 📉
-90 exit scams totaling over $30m 🕵️
-Increase in phishing expeditions 🎣
-Legacy Financial system cracking? 🏦Full FREE report 👇https://t.co/Q2MiVXQYYK
— CertiK (@CertiK) April 7, 2023
Es importante que los usuarios tomen medidas para protegerse investigando a fondo cualquier protocolo antes de invertir, distribuyendo sus fondos entre varios protocolos y vigilando cualquier actividad sospechosa.
Almacenar los activos en un monedero físico, en lugar de en un exchange centralizado, es también una medida esencial para protegerse contra el robo.
Acabar con el aumento de los hackeos de DeFi requiere un esfuerzo colectivo para que el sector crezca y atraiga a más usuarios.
