El Aave V1 y una versión anterior del protocolo Yearn Finance fueron pirateados por $11.6 millones el 13 de abril debido a una vulnerabilidad en el token USDT de Yearn, yUSDT.

Aave es uno de los protocolos de préstamos y préstamos más antiguos de DeFi, que permite a los usuarios obtener rendimientos por depositar varias criptomonedas. Yearn Finance es otro protocolo DeFi popular que agrega varias oportunidades de rendimiento de todo el mercado en una sola plataforma.

El token yUSDT es un token de acumulación de rendimiento que rastrea el saldo de la moneda estable USDT de un usuario depositado en los contratos de Yearn.

“Estaba mal configurado para usar el token iUSDC de Fulcrum en lugar del token iUSDT de Fulcrum”, señaló el investigador de Paradigm, Samczsun. Fulcrum es una plataforma DeFi que permite a los usuarios pedir prestado y prestar ETH y otros tokens ERC-20.

El daño fue limitado ya que solo las versiones anteriores de los protocolos fueron atacadas. Aave V1 tenía alrededor de $20 millones en depósitos totales el 12 de abril, un día antes del hackeo, según datos de DeFiLlama.

Storm Blessed 0x, un desarrollador senior de Yearn, y Aave confirmaron que solo las versiones heredadas de los protocolos probablemente se vieron afectadas, sin dañar las últimas versiones. El equipo de Aave también afirmó que congelaron nuevos depósitos en V1 en diciembre de 2022.

Los atacantes ya han comenzado a retirar ETH a través del mezclador Ethereum Tornado Cash, con 1,000 ETH por valor de alrededor de $1.9 millones retirados, según PeckShield.

Marc Zeller, fundador de la plataforma de gobierno de Aave, Aave-Chan, tuiteó después del hackeo que el Módulo de Seguridad de Aave tiene alrededor de $382.5 millones, que supera con creces los depósitos totales en Aave V1.

Es probable que a los usuarios afectados se les pague con cargo al Módulo de seguridad o a los fondos de seguro de Yearn, según lo que acuerden los dos líderes de la comunidad.

Ataques como este se han vuelto comunes en el sector DeFi.

En marzo, Euler Finance, otro protocolo de préstamos y préstamos, fue explotado por casi $200 millones en una variedad de criptomonedas. Poco después, Sushiswap, un intercambio criptográfico descentralizado, fue pirateado por $3.3 millones.

El equipo de Euler negoció con éxito la devolución de la mayoría de los fondos y SushiSwap también ha lanzado un plan de recuperación para los usuarios afectados.

Pagina Original:

Older Versions of Aave, Yearn Finance Exploited for $11.6M