Según datos de la firma de análisis PeckShield, un ataque contra el protocolo DeFi Yearn Finance permitió a los ciberdelincuentes retirar aproximadamente 9 millones de dólares. El incidente se produjo debido a una grave vulnerabilidad en el contrato inteligente yETH, que permitió la emisión ilimitada de tokens sin el respaldo correspondiente. Estos activos generados artificialmente fueron inmediatamente intercambiados por la liquidez del pool en Ether, provocando su vaciamiento total.
Para ocultar el rastro y blanquear los fondos sustraídos, los atacantes utilizaron el servicio de anonimización Tornado Cash. Los expertos señalan que varios contratos inteligentes auxiliares empleados en el ataque fueron desplegados minutos antes del incidente y posteriormente destruidos, lo que dificulta significativamente el análisis y la investigación.
Representantes de Yearn Finance confirmaron el hecho y comunicaron que se ha iniciado una investigación interna. El objetivo es determinar con precisión el mecanismo de la intrusión y verificar si otros activos del protocolo se vieron comprometidos.
Cabe destacar que, previamente, el analista independiente de blockchain ZachXBT informó sobre un ataque similar contra el servicio de pagos GANA Payment, construido sobre la red Binance Smart Chain (BSC). En esa operación, los delincuentes lograron sustraer criptomonedas por un valor superior a los 3,1 millones de dólares.