分散型金融(DeFi)プロトコルのヤーン・ファイナンス(Yearn Finance)は12月1日、同社のリキッドステーキングトークン集約製品「yETH」が攻撃を受けたことを明らかにした。
攻撃者はスマートコントラクトの脆弱性を悪用し、yETHトークンを無制限に発行(ミント)することで、単一のトランザクションでプールから実資産を流出させた。
ブロックチェーンデータによると、攻撃者は約1,000ETH(約300万ドル、約4億5000万円相当)を仮想通貨ミキシングサービス「Tornado Cash」に送金した。攻撃に使用された複数のスマートコントラクトは、トランザクション実行後に自己破壊されている。攻撃前のyETHプールには約1,100万ドル(約16億5,000万円)相当の資産があったが、被害の全容は依然として不明。
ヤーン・ファイナンスは事態を調査中であり、同プロトコルのYearn Vault(V2およびV3)は影響を受けていないと表明している。その後、同社はyETH保有者が安全にETHへ引き出しできるようになったと発表した。
ヤーン・ファイナンスは2020年2月にローンチされたDeFiプロトコルで、イーサリアムブロックチェーン上でレンディング・アグリゲーション、イールド生成、保険サービスを提供している。同プロトコルの預かり資産総額(TVL)は約6億ドル(約900億円)以上とされており、DeFi分野の主要プロジェクトの一つとなっている。
同プロトコルは過去にも複数回のセキュリティインシデントに見舞われている。2021年2月にはyDAI Vaultが攻撃を受け、攻撃者は約280万ドルを奪取した。2023年4月にはyUSDT Vaultが攻撃を受け、古いコントラクトの脆弱性を突かれて約1,160万ドルの被害が発生している。
関連: アップビットの48億円ハッキング、当局が北朝鮮ラザルス集団の関与を本格調査
関連: Balancerの不正流出受けて、L1「ベラチェーン」ネットワークを停止
