Foto: rafastockbr/Shutterstock
Gevaar schuilt in een klein hoekje, zo blijkt regelmatig in het land van Decentralized Finance (DeFi). Veel protocollen zijn in 2022 gehackt, en helaas is het kat- en muisspel tussen hackers en platformen in 2023 niet geëindigd. Nu is Yearn.finance slachtoffer van een miljoenenhack.
Yearn.finance gehackt – voor 1,3 quadriljoen dollar?!
Dat heeft blockchain-beveiligingsbedrijf PeckShield ontdekt. Op Twitter waarschuwde het bedrijf Yearn voor het probleem, waarna PeckShield ook uiteenzette wat het probleem precies inhield. Een hacker heeft met slechts 10.000 dollar aan USDT een enorme hoeveelheid yearn USDT (yUSDT) weten te minten – bijna 1,3 quadriljoen yUSDT zelfs. Dat is meer dan 1.252 miljard yUSDT.
Een deel van de fondsen gedenomineerd in yUSDT zijn hierna direct omgezet in 61.000 Pax Dollar (USDP), 1,5 miljoen TrueUSD (TUSD), 1,79 miljoen Binance USD (BUSD), 1,2 miljoen USDT, 2,58 miljoen USD Coin (USDC) en 3 miljoen DAI. Ook wist de hacker 1.000 ether (ETH) te versturen naar Tornado Cash, de crypto mixer die vorig jaar aan sancties is onderworpen. In totaal verloor Yearn.finance zo’n 11,6 miljoen dollar.
The loss of today’s @iearnfinance yUSDT hack is ~$11.6m.
As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT – https://t.co/sYuEuiBhAo – to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu
— PeckShield Inc. (@peckshield) April 13, 2023
Volgens Yearn maakte de hacker gebruik van een verouderd contract genaamd ‘iearn’ van vóór Yearns ‘vaults’ v1 en v2. Dit contract is in 2020 al met pensioen gegaan, en het probleem is niet te dupliceren bij de nieuwere contracten. Ook Aave kreeg een waarschuwing van PeckShield omdat ook dit protocol blootstelling had aan de hacker. Maar zowel Aave v1 als v2 en v3 zijn niet beïnvloed, schrijft het protocol op Twitter.
We’re looking into an issue with iearn, an outdated contract from before Vaults v1 and v2.
This problem seems exclusive to iearn and does not impact current Yearn contracts or protocols.
iearn is an immutable contract predating YFI, it was deprecated in 2020.
Vaults v1, with…
— yearn (@yearnfi) April 13, 2023
Ook in 2023 veel crypto gestolen
2023 is nog maar net begonnen, maar ook nu al is er een flink aantal hacks geweest. Zo bleek Safemoon niet zo veilig als het misschien klinkt, het verloor namelijk 8,9 miljoen dollar aan criminelen. In februari wisten hackers in totaal 21 miljoen dollar te ontfutselen uit DeFi-protocollen.
Een flink deel van het gestolen bedrag bleek de afgelopen jaren naar Noord-Korea te zijn gegaan. Het land zou in naam van de staat al 1 miljard dollar aan cryptocurrencies hebben buitgemaakt. Nu ze niet meer gebruik kunnen maken van Tornado Cash gebruiken ze zelfs cloudmining om het geld wit te wassen.