Эксперты исследовательской компании PeckShield опубликовали серию сообщений в Твиттере, в которых рассказали о точной сумме похищенных средств из протоколов Aave и yearn.finance. Напомним, что утром 13 апреля 2023 года, стало известно: хакер атаковал данные продукты и похитил криптовалюты пользователей. В итоге специалисты сообщили о суммарном ущербе в размере $11,6 млн по текущему курсу.
Они отметили, что злоумышленник воспользовался уязвимостью стейблкоина yUSDT. Хакер использовал ошибку в неправильно настроенном смарт-контракте. Благодаря этому ему удалось отчеканить «чрезвычайно огромное количество» yUSDT (1 252 660 242 212 927,5) из небольшой суммы в размере $10 тыс. Аналитики Peckshild сообщили: сразу после этого он обменял их на различные стейбклоины и рассказали о потоке украденных средств.
По их заверениям, эксплуататор в итоге получил около $11,6 млн, в том числе 61 тыс. USDP, 1,5 млн TUSD, 1,79 млн BUSD, 1,2 млн USDT, 2,58 млн USDC и 3 млн DAI. Кроме того, злоумышленник отправился в протокол Aave и поставил 1,5 млн TUSD, а также «позаимствовал» 634 ETH. Позднее стало известно, что преступник обменял часть стейблкоинов на 600 ETH. Затем хакер перевел 1000 ETH в микшер Tornado Cash.
Специалисты пообещали, что продолжат следить за развитием событий и держать пользователей в курсе дел. Представители, взломанных протоколов пока воздерживались от масштабных комментариев. Они лишь заверили, что займутся собственным расследованием, а также привлекут сторонних специалистов для проверки безопасности смарт-контактов.
Сразу после атаки котировки криптовалюты yearn.finance (YFI) обрушились примерно на 5% за 1 час. Виртуальный актив торговался по $9380 еще в 9:00 по московскому времени. Однако спустя 50 минут его цена упала ниже $8950.