По их данным, хакеры воспользовались критической уязвимостью в смарт-контракте yETH, которая позволила осуществить неограниченную эмиссию токенов без предоставления соответствующего обеспечения. Затем злоумышленники обменяли искусственно созданные токены на активы пула в эфире, полностью опустошив его.
Для отмывания украденных средств хакеры использовали сервис Tornado Cash. Несколько вспомогательных смарт-контрактов, использованных в эксплойте, были запущены за несколько минут до инцидента и уничтожены после него, чтобы затруднить расследование, отметили эксперты.
В Yearn Finance подтвердили факт взлома, и сообщили, что проводят расследование, чтобы точно определить, как была реализована атака и были ли затронуты какие-либо другие активы.
Ранее независимый блокчейн-сыщик ZachXBT сообщил, что хакеры совершили атаку на платежный сервис GANA Payment, созданный на основе блокчейна Binance Smart Chain (BSC). Злоумышленники вывели криптоактивы на сумму более $3,1 млн.
