Thị trường ghi nhận một vụ tấn công mới nhắm vào Yearn Finance, khi sản phẩm Yearn Ether (yETH) – token tổng hợp nhiều liquid staking token (LST) – bị khai thác, khiến hacker thu lợi hàng triệu đô.
Theo dữ liệu on-chain, kẻ tấn công đã lợi dụng một lỗi cho phép mint gần như vô hạn yETH, qua đó rút cạn thanh khoản của pool chỉ trong một giao dịch. Khoảng 1.000 ETH (tương đương ~3 triệu USD) sau đó được chuyển vào Tornado Cash.
Vụ việc dường như liên quan đến nhiều smart contract mới triển khai, trong đó có một số contract tự hủy sau khi giao dịch hoàn tất. Tổng giá trị thiệt hại chưa được xác định, nhưng trước tấn công, pool yETH có khoảng 11 triệu USD.
Sự cố được phát hiện đầu tiên bởi người dùng X có tên Togbe, người cho biết các giao dịch lớn đã báo hiệu hành vi bất thường. Ông mô tả rằng lỗi “super mint” cho phép hacker rút sạch pool và vẫn thu được lợi nhuận.
Yearn Finance xác nhận sự cố và cho biết các Vault V2 và V3 không bị ảnh hưởng.
Giao thức này từng bị hack năm 2021, khiến vault yDAI thiệt hại 11 triệu USD và hacker chiếm đoạt 2,8 triệu USD. Năm 2023, Yearn cũng gặp sự cố script nội bộ khiến 63% một vị thế treasury bị xóa, nhưng không ảnh hưởng người dùng.
