YearnのyETHへの攻撃が発生した後、ETHで300万ドルがTornado Cashに送金

イールドファーミングプロトコルのYearn Financeは、人気のあるLST（リキッドステーキングトークン）を1つのトークンに集約するYearn Ether（yETH）プロダクトから、数百万ドル相当のLSTが流出する攻撃の標的となった模様です。

ブロックチェーンデータによると、yETHプールは、ほぼ無限数のyETHトークンをミントする巧妙に設計されたエクスプロイトによって、単一のトランザクションでプールが枯渇させられたようです。このトランザクションの結果、1,000ETH（現在の価格で約300万ドル相当）がミキシングプロトコルのTornado Cashに送信されました。

この攻撃には、いくつかの新たにデプロイされたスマートコントラクトが関与しており、その一部はトランザクション後に自壊したことがブロックチェーンデータから示されています。金銭的損失の総規模は当初不明でしたが、攻撃前のyETHプールの価値は約1,100万ドルでした。

このハッキングはXユーザーのTogbeによって最初に発見され、The Blockに対し、大規模な転送を監視している際に攻撃に気付いたと語っています。「ネット転送から見ると、yETHスーパー・ミントが攻撃者にプールを1,000ETH分引き出させたようです」とTogbeはメッセージで述べています。「他のETHも犠牲になったようですが、それでも利益を得て逃げました。」

「yETH LSTステーブルスワッププールに関するインシデントを調査中です」とYearnはXで述べました。「Yearn Vaults（V2およびV3）は影響を受けていません。」

日曜日の午後11時10分に発表された新たなアナウンスで、Yearnはこの攻撃によって900万ドルを失ったことを確認しました——ステーブルスワッププールから800万ドル、Curve上のyETH-WETHステーブルスワッププールから90万ドルです。Yearnは、SEAL 911およびChainSecurityと協力して完全な事後分析を進めていると述べました。

「初期分析によると、このハッキングは最近のBalancerハックと同様に非常に複雑なものですので、事後分析の完了までしばらくお待ちください」とYearnは投稿で述べています。「今回影響を受けたコードと同様のコードを使用している他のYearnプロダクトはありません。」

Yearn Financeは2021年にもyDAIボールトがエクスプロイトを受け、1,100万ドルの価値が失われ、ハッカーは280万ドルを持ち去りました。2023年12月には、プロトコルの不具合のあるスクリプトにより、トレジャリーポジションの63%が消失しましたが、ユーザー資金には影響はありませんでした。2020年にYearnを設立したAndre Cronjeは、その2年後にプロジェクトを離れました。

The BlockはYearnにコメントを求めましたが、すぐには連絡が取れませんでした。これは進行中のストーリーです。

Yearnの続報を追加して記事を更新しました