El dinero robado en hackeos a DeFi sigue creciendo, ya que el agregador de finanzas descentralizadas (DeFi) Yearn Finance se ha convertido en la última víctima de un ataque de 11,6 millones de dólares a un préstamo flash en el que está implicado el protocolo Aave.

La firma de seguridad blockchain PeckShield alertó por primera vez a los equipos de Yearn Finance y Aave el jueves 13 de abril. Según la empresa, el hacker se aprovechó de un fallo en el token emitido en Yearn Finance para lanzar un ataque de préstamo flash en la plataforma.

Hi @AaveAave @iearnfinance, you may want to take a look: https://t.co/61wSYHqwvs

— PeckShield Inc. (@peckshield) April 13, 2023

La culpa la tiene Yellow Tether (yUSDT) que se encontraba mal configurado

Según el informe de PeckShield, el autor se aprovechó de un contrato de Yellow Tether (yUSDT) mal configurado para acuñar una gran cantidad de yUSDT a partir de tan solo 10.000 USDT. A continuación, cambió estos tokens por otras stablecoins. PeckShield estimó el valor total robado en 11,6 millones de dólares, tal y como declararon en su twitter,

The loss of today's @iearnfinance yUSDT hack is ~$11.6m.

As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT – https://t.co/sYuEuiBhAo – to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu

— PeckShield Inc. (@peckshield) April 13, 2023

En la alerta inicial, PeckShield también mencionaba el protocolo Aave DeFi. Anteriormente se pensaba que Aave V1 estaba afectado por el exploit. Sin embargo, el desarrollador del protocolo confirmó posteriormente que el exploit no había afectado a Aave V1. El atacante sólo utilizó el protocolo Aave para intercambiar tokens robados, lo que la empresa de seguridad confirmó posteriormente.

«Tenemos que aclarar que la causa raíz se debe a yUSDT mal configurado, no está relacionado con Aave», dijo PeckShield en un tweet de seguimiento.»

Ronin sufrió una brecha cuando el atacante pudo hacerse con el control de cuatro nodos validadores y un validador de terceros gestionado por Axie DAO.

El equipo de Yearn Finance también confirmó el incidente y destacó que la actual versión V2 del protocolo no se vio afectada. El ataque solo afecta a iearn, un predecesor de Yearn Finance desarrollado por Andre Cronje en 2020. El protocolo dijo en el siguiente tweet,

«Estamos investigando un problema con iearn, un contrato obsoleto anterior a Vaults v1 y v2. Este problema parece exclusivo de iearn y no afecta a los contratos o protocolos actuales de Yearn. iearn es un contrato inmutable anterior a YFI, quedó obsoleto en 2020. Vaults v1, con estrategias actualizables, también quedó obsoleto en 2021. No hay indicios de que esté afectado. La versión actual, Yearn v2 Vaults (escrita en Vyper), tampoco se ve afectada. Estén atentos a las actualizaciones a medida que nuestro equipo investiga más».

We're looking into an issue with iearn, an outdated contract from before Vaults v1 and v2.

This problem seems exclusive to iearn and does not impact current Yearn contracts or protocols.

iearn is an immutable contract predating YFI, it was deprecated in 2020.

Vaults v1, with…

— yearn (@iearnfinance) April 13, 2023

Los datos de Lookonchain sugieren que el hacker podría haber conseguido más de 10 millones de dólares en 3.032.142 $DAI, 2.579.483 $USDC, 1.785.091 $BUSD, 1.512.528 $TUSD, 1.193.756 $USDT.

Los hackeos de DeFi no han llegado a su fin. Las historias de hackeos y exploits han proliferado este año. Según cálculos aproximados, los piratas informáticos de DeFi robaron en marzo criptomonedas por valor de 211,5 millones de dólares en 26 ataques, casi diez veces más que los 21 millones robados en febrero en 7 incidentes de seguridad.