-
La vulnerabilidad existรญa desde hace 1.000 dรญas, precisรณ un investigador.
-
El atacante usรณ Aave para cambiar fondos, pero el protocolo aclarรณ que no fue afectado por ahora.
Un error en el cรณdigo de una versiรณn anterior del protocolo de finanzas descentralizadas (DeFi) Yearn Finance permitiรณ que un atacante se robara USD 11,6 millones. Su depรณsito inicial habรญa sido solo de USD 10.000.
Segรบn informaron especialistas como el investigador Sam Sun, el error detectado tiene que ver con el token yUSDT y se ubica mรกs precisamente en iearn, un contrato inteligente antiguo del protocolo. Este token es la representaciรณn de la stablecoin Tether (USDT) en esa plataforma, que es un agregador de rendimientos. Estos agregadores usan los tokens otorgados por pools de liquidez para generar ganancias al proveer liquidez a otros protocolos.
La informaciรณn fue confirmada por la firma de analรญticas y seguridad PeckShield, que aรฑadiรณ ademรกs el dato de que el hacker usรณ USD 10.000 para generar mรกs de 1,2 trillones de yUSDT. Luego, simplemente cambiรณ ese monto por ether (ETH) y otras stablecoins, como DAI, USD Coin (USDC), Binance USD (BUSD), TrueUSD (TUSD) y USDT en el Exchange descentralizado Uniswap y en la plataforma de inversiones Aave.
Esto quiere decir que el atacante fue capaz de multiplicar por 1.160 veces su dinero inicial, aprovechando esta falla en el cรณdigo del protocolo DeFi.
Sam Sun detallรณ al respecto que iearn โestaba mal configurado y usaba el token Fulcrum iUSDC en lugar del token Fulcrum iUSDTโ. Lo llamativo es que, segรบn su revisiรณn, la vulnerabilidad existรญa ya hace casi tres aรฑos. Como detallรณ CriptoNoticias en su momento, algo similar habรญa pasado en iearn con el token yDAI en febrero de 2021.
Aclaraciones de Yearn Finance y Aave
Un contribuyente de iearn y de Yearn Finance identificado como Storm Blessed escribiรณ en Twitter que el problema se limita a iearn y al pool de liquidez, pero que los vaults de Yearn Finance v2 โparecen no verse afectadosโ, aunque el equipo de desarrollo estรก investigando el caso. Lo mismo ratificรณ la cuenta oficial de iearn.
Asimismo, el protocolo DeFi Aave, uno de los lรญderes del rubro a nivel mundial, se vio involucrado en principio porque el atacante hizo varios intercambios en la plataforma. No obstante, Aave informรณ que sus versiones 2 y 3 no se vieron afectadas, pero estรกn investigando posibles efectos en su v1, โla versiรณn mรกs vieja del protocolo que ya fue congeladaโ.
El protocolo Yearn Finance posee un valor total bloqueado (TVL) de USD 449 millones en total. De este modo, se ubica en la posiciรณn 22 entre las plataformas con mรกs valor entre las DeFi.
