A Yearn Finance, famoso protocolo DeFi, sofreu uma perda de R$ 57 milhões nesta quinta-feira (13). No ataque, os hackers usaram um pequeno montante, de R$ 50.000, para criar R$ 6 quadrilhões em uma stablecoin.
O hack da Yearn Finance é o terceiro desta semana, mas o menor deles. Enquanto a corretora sul-coreana GDAC perdeu R$ 69 milhões no domingo (9), a Bitrue perdeu outros R$ 113 milhões nesta sexta-feira (14). Os casos não aparentam ter ligação entre si.
Em nota, a Yearn afirmou que o hacker focou em um antigo contrato, já abandonado pelo projeto. Ou seja, as novas versões do protocolo não estariam em risco.
Hacker transforma R$ 50.000 em R$ 6 quadrilhões para roubar R$ 57 milhões
O ataque foi percebido pela empresa de segurança PeckShield, que rapidamente informou o projeto afetado enquanto detalhava os detalhes do hack.
“Parece que a causa raiz se deve ao yUSDT mal configurado, explorado para gerar um enorme montante de yUSDT (1.252.660.242.212.927,5) a partir de um pequeno 10.000 USDT. A enorme quantia de yUSDT é então sacada, sendo trocada por outras stablecoins.”
It appears the root cause is due to the misconfigured yUSDT, which is exploited to mint huge yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. The huge yUSDT is then cashed out by swapping to other stable coins. https://t.co/Qz3vwtbcot pic.twitter.com/xlsc2Nlmle
— PeckShield Inc. (@peckshield) April 13, 2023
Apesar da criação de R$ 6 quadrilhões em yUSDT usando apenas 10.000 USDT (R$ 50.000), os hackers conseguiram roubar apenas US$ 11,6 milhões (R$ 57 milhões) da Yearn Finance.
Na imagem abaixo, a PeckShield aponta saques de diferentes stablecoins, sendo US$ 3 milhões em DAI, US$ 2,5 milhões em USDC, US$ 1,7 milhão em BUSD, US$ 1,2 milhão em USDT e 61.000 em USDD.
Yearn Finance reconhece o hack, mas diz que problema está contido
Em nota publicada nesta quinta-feira (13), a Yearn Finance afirmou que a falha estava ligada ao “iEarn”, um antigo contrato que já era tido como abandonado. Ou seja, não há indícios que a falha volte a ser explorada.
“O iEarn é um contrato imutável anterior ao YFI, foi descontinuado em 2020”, escreveu a Yearn Finance. “O Vaults v1, com estratégias atualizáveis, também foi descontinuado em 2021. Não há indicação de que tenha sido afetado. A versão atual, Yearn v2 Vaults (escrita em Vyper), também não foi afetado.”
“Como apontado anteriormente, a causa raiz da exploração do iEarn desta manhã foi um bug no contrato legado do token USDT (yUSDT) no iEarn.”
As previously pointed out, the root cause of this morning's iEarn exploit was a bug in the legacy iEarn USDT (yUSDT) token contract.
This bug persisted in several versions and led to multiple Curve pools (y, busd, pax) being exploited and drained. Liquidity providers who…
— yearn (@iearnfinance) April 13, 2023
Apesar da falha não estar presente nos novos contratos, a Yearn afirmou que usuários dos Vaults v2 v1 também foram afetados de alguma forma.
Por fim, apesar do hack o token YFI opera em alta de 7,5% nesta sexta-feira (14), acompanhando o ótimo momento das duas maiores criptomoedas do mercado, Bitcoin e Ethereum.
