- Старе сховище Yearn Finance було зломано.
- Зловмисник скористався вразливістю в контракті Yearn Finance V1.
- Він вивів криптоактиви, конвертувавши їх у 103 ETH.
- Збиток оцінюють у близько $300 000.
Протокол Yearn Finance піддався злому і втратив близько $300 000, за даними експертів PeckShield. Це вже другий інцидент із проєктом із початку грудня 2025 року.
Передбачається, що інцидент торкнувся Yearn Finance V1. Користувач Вейлін (Вільям) Лі проаналізував цей кейс і зазначив, що проблема полягає в конфігурації сховища.
За його даними, зловмисник використовував уразливість із переказом Fulcrum sUSD у сховище iEarn.
Він взяв у кредит якусь суму TUSD і sUSD, перевів sUSD у Fulcrum, потім вніс TUSD у Yearn, перевів Fulcrum sUSD у сховище, підвищивши вартість акцій, спустошив його і викликав функцію rebalance, що призвело до різкого обвалення вартості часток.
Останні він продав через пули проєкту Curve Finance, таким чином заробивши. За даними експертів PeckShield, він вивів криптоактиви, конвертувавши їх у 103 ETH.
Експерт зазначив, що зловмисник залишив 214 000 sUSD у сховищі, які ніхто не зможе вивести.
У команді Yearn Finance прокоментували інцидент, зазначивши, що ситуація стосується виключно сховища iEarn і не пов’язана з іншими. При цьому контракт нібито є застарілим, а вразливість у ньому — давно відомою.
Раніше ми повідомляли про ще один злом Yearn Finance, який стався на початку грудня 2025 року. Проєкт втратив близько $9 млн.
Сообщение Yearn Finance зіткнувся з другим зломом з початку грудня появились сначала на INCRYPTED.
