老舗の分散型金融プロトコルがまた問題を起こしました。

Yearn Financeの流動性ステーキングアグリゲーターyETHが今日ハッキングされ、資金プールがほぼ空になりました。攻撃手法は非常に巧妙で、ハッカーは契約の脆弱性を利用してほぼ「無限印刷」を実現し、一度の取引でプールを絞り取り、1000枚のETH（約300万ドル）をTornado Cashミキサーに転送しました。

オンチェーンデータは非常に明確に示しています：複数の新しくデプロイされたスマートコントラクトがこの行動に参加し、完了後にこれらのコントラクトは直ちに自己破壊し、痕跡を消しました。事件前にyETHプールにあった総価値は約1100万ドルですが、現在具体的にどれだけ蒸発したかはまだ集計中ですが、損失は確実に大きいでしょう。

興味深いことに、この問題は最初にプロジェクトチームが発見したのではなく、TwitterユーザーのTogbeが最初に異常を察知しました——彼は大量の疑わしいインタラクションがBalancer、Rocket Poolといったプロトコルに関与していることに気づき、Tornado Cashの頻繁な呼び出しと相まって、基本的に攻撃行為であることを確認しました。Yearnの公式はその後、彼らのVault製品には影響がないと応じましたが、yETHユーザーはおそらく冷や汗をかいていることでしょう。

このような「コイン発行-資金抜き取り-ミキシング」のコンボは、DeFi界ではこれが初めてのことではありません。スマートコントラクトの監査がどんなに厳しくても、ハッカーがあなたの資金プールを日夜じっくり考え新しい手法を模索することに耐えられません。