El peligro acecha en un pequeño rincón, como se demuestra regularmente en la tierra de las Finanzas Descentralizadas (DeFi). Muchos protocolos fueron pirateados en 2022 y, por desgracia, el juego del gato y el ratón entre piratas informáticos y plataformas no terminó en 2023. Ahora Yearn.finance es víctima de un hackeo multimillonario. Es decir, más de 1.252 billones de yUSDT.
Yearn.finance hackeada – ¡¿por $1,3 cuatrillones de dólares?!
Esto es lo que ha descubierto la empresa de seguridad de blockchain PeckShield. En Twitter, la empresa alertó a Yearn del problema, tras lo cual PeckShield también explicó exactamente en qué consistía el problema. Un hacker consiguió acuñar una enorme cantidad de Yearn USDT (yUSDT) con sólo 10.000 USDT, de hecho, casi 1,3 cuatrillones de yUSDT.
Algunos de los fondos denominados en yUSDT se convirtieron inmediatamente en 61.000 Pax Dollar (USDP), 1,5 millones de TrueUSD (TUSD), 1,79 millones de Binance USD (BUSD), 1,2 millones de USDT, 2,58 millones de USD Coin (USDC) y 3 millones de DAI. El hacker también consiguió enviar 1.000 ether (ETH) a Tornado Cash, el mezclador de criptomonedas sujeto a sanciones el año pasado. En total, Yearn.finance perdió unos 11,6 millones de dólares.
The loss of today's @iearnfinance yUSDT hack is ~$11.6m.
As mentioned earlier, the hacker exploits a bug in the misconfigured yUSDT – https://t.co/sYuEuiBhAo – to mint extremely huge amount of yUSDT (1,252,660,242,212,927.5) from a small $10K USDT. Next, the minted yUSDT is… https://t.co/Qz3vwtbcot pic.twitter.com/UZf3TJNPMu
— PeckShield Inc. (@peckshield) April 13, 2023
Según Yearn, el hacker utilizó un contrato obsoleto llamado «iearn» de antes de las «bóvedas» v1 y v2 de Yearn. Este contrato ya fue retirado en 2020, y el problema no puede duplicarse en los contratos más recientes. Aave también recibió una advertencia de PeckShield porque este protocolo también estaba expuesto al hacker. Pero tanto Aave v1 como v2 y v3 no se han visto afectados, escribe el protocolo en Twitter.
We're looking into an issue with iearn, an outdated contract from before Vaults v1 and v2.
This problem seems exclusive to iearn and does not impact current Yearn contracts or protocols.
iearn is an immutable contract predating YFI, it was deprecated in 2020.
Vaults v1, with…
— yearn (@iearnfinance) April 13, 2023
Mucho crypto robado también en 2023
2023 no ha hecho más que empezar, pero incluso ahora ha habido un buen número de hackeos. Safemoon, por ejemplo, demostró no ser tan seguro como podría parecer, ya que perdió $8,9 millones de dólares a manos de delincuentes. En febrero, los hackers consiguieron extraer un total de $21 millones de dólares de los protocolos DeFi.
Al parecer, una buena parte de la cantidad robada fue a parar a Corea del Norte en los últimos años. Se dice que el país ya ha capturado criptomonedas por valor de $1.000 millones de dólares en nombre del estado. Ahora que ya no pueden utilizar Tornado Cash, incluso están utilizando el cloud mining para blanquear el dinero.
