Beosin：Yearn 공격은 계약 오류로 인해 yusdt가 대량으로 발행되었으며, 도난된 자금은 Tornado cash로 이동되었습니다

ChainCatcher 메시지에 따르면, 블록체인 보안 감사 회사 Beosin의 Beosin EagleEye 모니터링 결과, 2023년 4월 13일 Yearn 프로젝트가 해커의 플래시 론 공격을 받았으며, 이번 공격으로 1000만 달러 이상의 손실이 발생했습니다.

Beosin 보안 팀의 분석에 따르면 이번 공격은 계약 구성 오류로 인해 yusdt의 대량 발행이 발생했기 때문입니다. 공격자는 yearn의 yusdt 계약을 호출하고 그 안의 토큰 잔액을 제어하여 pool의 값이 비정상적으로 감소하게 만들었으며, pool은 발행 수량 계산에 참여하는 분모로 사용됩니다. 이로 인해 공격자는 대량의 yusdt를 발행받았고, 공격자는 이 yusdt를 다른 스테이블코인으로 교환하여 현장을 떠났습니다. Beosin KYT 반자금세탁 분석 플랫폼은 현재 도난당한 자금의 일부가 tornado cash로 이전되었으며, 나머지는 해커 주소에 저장되어 있다고 밝혔습니다.
공격 거래:
0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d
0x8db0ef33024c47200d47d8e97b0fcfc4b51de1820dfb4e911f0e3fb0a4053138
0xee6ac7e16ec8cb0a70e6bae058597b11ec2c764601b4cb024dec28d766fe88b2
공격자 주소:
0x8102ae88c617deb2a5471cac90418da4ccd0579e
0x16Af29b7eFbf019ef30aae9023A5140c012374A5
0x6f4A6262d06272c8B2E00Ce75e76d84b9D6F6aB8