Hechos clave:
-
La vulnerabilidad existía desde hace 1.000 días, precisó un investigador.
-
El atacante usó Aave para cambiar fondos, pero el protocolo aclaró que no fue afectado por ahora.
Un error en el código de una versión anterior del protocolo de finanzas descentralizadas (DeFi) Yearn Finance permitió que un atacante se robara USD 11,6 millones. Su depósito inicial había sido solo de USD 10.000.
Según informaron especialistas como el investigador Sam Sun, el error detectado tiene que ver con el token yUSDT y se ubica más precisamente en iearn, un contrato inteligente antiguo del protocolo. Este token es la representación de la stablecoin Tether (USDT) en esa plataforma, que es un agregador de rendimientos. Estos agregadores usan los tokens otorgados por pools de liquidez para generar ganancias al proveer liquidez a otros protocolos.
La información fue confirmada por la firma de analíticas y seguridad PeckShield, que añadió además el dato de que el hacker usó USD 10.000 para generar más de 1,2 trillones de yUSDT. Luego, simplemente cambió ese monto por ether (ETH) y otras stablecoins, como DAI, USD Coin (USDC), Binance USD (BUSD), TrueUSD (TUSD) y USDT en el Exchange descentralizado Uniswap y en la plataforma de inversiones Aave.
Esto quiere decir que el atacante fue capaz de multiplicar por 1.160 veces su dinero inicial, aprovechando esta falla en el código del protocolo DeFi.
Sam Sun detalló al respecto que iearn “estaba mal configurado y usaba el token Fulcrum iUSDC en lugar del token Fulcrum iUSDT”. Lo llamativo es que, según su revisión, la vulnerabilidad existía ya hace casi tres años. Como detalló CriptoNoticias en su momento, algo similar había pasado en iearn con el token yDAI en febrero de 2021.
Aclaraciones de Yearn Finance y Aave
Un contribuyente de iearn y de Yearn Finance identificado como Storm Blessed escribió en Twitter que el problema se limita a iearn y al pool de liquidez, pero que los vaults de Yearn Finance v2 “parecen no verse afectados”, aunque el equipo de desarrollo está investigando el caso. Lo mismo ratificó la cuenta oficial de iearn.
Asimismo, el protocolo DeFi Aave, uno de los líderes del rubro a nivel mundial, se vio involucrado en principio porque el atacante hizo varios intercambios en la plataforma. No obstante, Aave informó que sus versiones 2 y 3 no se vieron afectadas, pero están investigando posibles efectos en su v1, “la versión más vieja del protocolo que ya fue congelada”.
El protocolo Yearn Finance posee un valor total bloqueado (TVL) de USD 449 millones en total. De este modo, se ubica en la posición 22 entre las plataformas con más valor entre las DeFi.
