Hechos clave:
-
La vulnerabilidad existió durante 1.000 días, dijo un investigador.
-
El atacante usó Aave para cambiar fondos, pero el protocolo aclaró que por ahora no se vio afectado.
Un error en el código de una versión anterior del protocolo de finanzas descentralizadas (DeFi) Yearn Finance permitió a un atacante robar 11,6 millones de dólares. Su depósito inicial había sido de sólo $10,000.
De acuerdo a reportado especialistas como el investigador Sam Sun, el error detectado tiene que ver con el token yUSDT y se ubica mas precisamente en iearn, un antiguo contrato inteligente del protocolo. Este token es la representación de la stablecoin Tether (USDT) en esa plataforma, que es un agregador de retornos. Estos agregadores utilizan los tokens otorgados por los fondos de liquidez para generar ganancias al proporcionar liquidez a otros protocolos.
la informacion fue confirmado por la firma de análisis y seguridad PeckShield, que también agregó el hecho de que el hacker usó $10,000 para generar más de 1.2 trillones de yUSDT. Luego, simplemente intercambió esa cantidad por ether (ETH) y otras monedas estables, como DAI, USD Coin (USDC), Binance USD (BUSD), TrueUSD (TUSD) y USDT en el intercambio descentralizado Uniswap y la plataforma de inversión Aave.
Esto significa que el atacante pudo multiplicar su dinero inicial por 1.160 vecesaprovechando esta falla en el código del protocolo DeFi.
Sam Sun explicó al respecto que iearn “estaba mal configurado y usó el token Fulcrum iUSDC en lugar del token Fulcrum iUSDT”. Lo llamativo es que, según su reseña, la vulnerabilidad existía hace casi tres años. Según detalló CriptoNoticias en su momento, algo similar había sucedido en iearn con el token yDAI en febrero de 2021.
Aclaraciones de Yearn Finance y Aave
Un colaborador de iearn and Yearn Finance identificado como Storm Blessed escribió en Twitter que el problema se limita a iearn y al fondo de liquidez, pero que las bóvedas de Yearn Finance v2 “parecen no verse afectadas”, aunque el equipo de desarrollo está investigando el caso. Lo mismo ratificado la cuenta oficial de iearn.
Asimismo, el protocolo DeFi Aave, uno de los líderes en la materia a nivel mundial, se vio inicialmente involucrado porque el atacante realizó varios intercambios en la plataforma. Sin embargo, ave reportado que sus versiones 2 y 3 no se vieron afectadaspero investigan posibles efectos en su v1, “la versión más antigua del protocolo que ya estaba congelada”.
El protocolo Yearn Finance tiene un valor total bloqueado (TVL) de $449 millones en total. De esta forma, se ubica en la posición 22 entre las plataformas con más valor entre las DeFi.