A Yearn Finance, famoso protocolo DeFi, sofreu uma perda de R$ 57 milhões nesta quinta-feira (13). No ataque, os hackers usaram um pequeno montante, de R$ 50.000, para criar R$ 6 quadrilhões em uma stablecoin.
O hack da Yearn Finance é o terceiro desta semana, mas o menor deles. Enquanto a corretora sul-coreana GDAC perdeu R$ 69 milhões no domingo (9), a Bitrue perdeu outros R$ 113 milhões nesta sexta-feira (14). Os casos não aparentam ter ligação entre si.
Em nota, a Yearn afirmou que o hacker focou em um antigo contrato, já abandonado pelo projeto. Ou seja, as novas versões do protocolo não estariam em risco.
O ataque foi percebido pela empresa de segurança PeckShield, que rapidamente informou o projeto afetado enquanto detalhava os detalhes do hack.
“Parece que a causa raiz se deve ao yUSDT mal configurado, explorado para gerar um enorme montante de yUSDT (1.252.660.242.212.927,5) a partir de um pequeno 10.000 USDT. A enorme quantia de yUSDT é então sacada, sendo trocada por outras stablecoins.”
Apesar da criação de R$ 6 quadrilhões em yUSDT usando apenas 10.000 USDT (R$ 50.000), os hackers conseguiram roubar apenas US$ 11,6 milhões (R$ 57 milhões) da Yearn Finance.
Na imagem abaixo, a PeckShield aponta saques de diferentes stablecoins, sendo US$ 3 milhões em DAI, US$ 2,5 milhões em USDC, US$ 1,7 milhão em BUSD, US$ 1,2 milhão em USDT e 61.000 em USDD.
Em nota publicada nesta quinta-feira (13), a Yearn Finance afirmou que a falha estava ligada ao “iEarn”, um antigo contrato que já era tido como abandonado. Ou seja, não há indícios que a falha volte a ser explorada.
“O iEarn é um contrato imutável anterior ao YFI, foi descontinuado em 2020”, escreveu a Yearn Finance. “O Vaults v1, com estratégias atualizáveis, também foi descontinuado em 2021. Não há indicação de que tenha sido afetado. A versão atual, Yearn v2 Vaults (escrita em Vyper), também não foi afetado.”
“Como apontado anteriormente, a causa raiz da exploração do iEarn desta manhã foi um bug no contrato legado do token USDT (yUSDT) no iEarn.”
Apesar da falha não estar presente nos novos contratos, a Yearn afirmou que usuários dos Vaults v2 v1 também foram afetados de alguma forma.
Por fim, apesar do hack o token YFI opera em alta de 7,5% nesta sexta-feira (14), acompanhando o ótimo momento das duas maiores criptomoedas do mercado, Bitcoin e Ethereum.
Comentários