Beosin：Yearn 攻擊是因合約錯誤導致 yusdt 大量增發，被盜資金已轉移到 Tornado cash

ChainCatcher 消息，据區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 監測顯示，2023 年 4 月 13 日，Yearn 項目遭到黑客閃電貸攻擊，本次攻擊導致超1000萬美元的損失。

Beosin 安全團隊分析發現本次攻擊是由於合約配置錯誤，導致 yusdt 的大量增發所造成。攻擊者通過調用 yearn 的 yusdt 合約，並控制其中代幣餘額，使得 pool 的值異常減小，而 pool 是作為除數參與鑄幣數量計算的，此時給攻擊者鑄了大量的 yusdt，攻擊者使用這些 yusdt 兌換成了其他穩定幣而離場。beosin KYT 反洗錢分析平台發現目前被盜資金部分被轉移到 tornado cash，其餘還存儲在黑客地址。
攻擊交易：
0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d
0x8db0ef33024c47200d47d8e97b0fcfc4b51de1820dfb4e911f0e3fb0a4053138
0xee6ac7e16ec8cb0a70e6bae058597b11ec2c764601b4cb024dec28d766fe88b2
攻擊者地址：
0x8102ae88c617deb2a5471cac90418da4ccd0579e
0x16Af29b7eFbf019ef30aae9023A5140c012374A5
0x6f4A6262d06272c8B2E00Ce75e76d84b9D6F6aB8