Yearn Finance bị hack 9 triệu USD do lỗi hợp đồng thông minh yETH

Yearn Finance bị tấn công, thất thoát hơn 9 triệu USD do lỗi hợp đồng thông minh

Trong một cuộc tấn công mạng nghiêm trọng nhằm vào nền tảng tài chính phi tập trung Yearn Finance, tin tặc đã chiếm đoạt số tài sản trị giá khoảng 9 triệu USD (tương đương hơn 132 tỷ đồng), theo PeckShield công bố ngày 24 (giờ địa phương).

Cụ thể, kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng thông minh liên quan tới token yETH — một loại tài sản phái sinh của Ethereum(ETH) do Yearn Finance phát hành. Bằng cách khai thác sơ hở trong cơ chế phát hành, hacker đã tạo ra một lượng yETH gần như không giới hạn mà không cần thế chấp. Sau đó, số lượng tài sản ảo này được dùng để rút thanh khoản từ một pool phái sinh tùy chỉnh chứa các token staking như stETH và rETH.

Theo phân tích bước đầu từ PeckShield, vụ việc tập trung vào một pool stablecoin cũ có liên quan đến yETH. Điều đặc biệt lo ngại là hợp đồng thông minh cho phép kẻ tấn công phát hành yETH mới mà không cần tài sản bảo chứng — một lỗi thiết kế nghiêm trọng trong kiến trúc hợp đồng.

Không dừng lại ở đó, hacker còn sử dụng Tornado Cash — một giao thức ẩn danh — để rửa tiền. Hiện tại, khoảng 3 triệu USD (hơn 44 tỷ đồng) dưới dạng Ethereum đã bị làm ẩn danh thông qua kênh này, trong khi 6 triệu USD còn lại vẫn bị giữ lại trong ví kỹ thuật số của kẻ tấn công (địa chỉ 0xa80d…c822).

Yearn Finance đã lên tiếng xác nhận thiệt hại, trong đó 900.000 USD bị rút từ pool yETH-WETH trên nền tảng Curve và khoảng 8 triệu USD từ pool bị khai thác. Trong nỗ lực khắc phục hậu quả, nhóm phát triển yêu cầu người dùng bị ảnh hưởng gửi yêu cầu hỗ trợ qua kênh Discord chính thức.

Ngay sau vụ tấn công, Yearn Finance đã phối hợp cùng SEAL911 và đơn vị kiểm toán bảo mật Chain Security để thành lập đội phản ứng khẩn cấp. Hiện họ đang thực hiện các phân tích pháp y sâu nhằm truy vết nguồn gốc lỗi. Bình luận sơ bộ cho thấy, vụ việc có kỹ thuật tương tự với vụ tấn công nhắm vào giao thức Balancer diễn ra gần đây — khi đó hacker cũng lợi dụng hiện tượng “từ mất độ chính xác” (precision loss) trong tính toán, gây thiệt hại hơn 120 triệu USD (tương đương 1.764 tỷ đồng).

Không ít chuyên gia cảnh báo rằng các pool phái sinh tùy chỉnh tương tự đang ngày càng trở thành mục tiêu của các cuộc tấn công tinh vi hơn. Do đó, nhu cầu đánh giá lại cấu trúc bảo mật của các pool DeFi, đặc biệt với token như yETH ngày càng cấp bách.

Vụ tấn công lần này xảy ra không lâu sau khi sàn giao dịch Upbit cũng hứng chịu tổn thất từ một cuộc lừa đảo phishing Ethereum có quy mô hơn 50 triệu USD (hơn 735 tỷ đồng). Điều này một lần nữa cho thấy các nền tảng tài chính phi tập trung và ngay cả các sàn giao dịch lớn vẫn đang đối mặt với rủi ro bảo mật nghiêm trọng — minh chứng cho thực tế rằng “từ”tiềm năng“của DeFi luôn đi kèm nguy cơ”từ”lỗ hổng an ninh.

Bình luận: Vụ việc tại Yearn Finance là lời nhắc mạnh mẽ về sự mong manh của DeFi — nơi bất kỳ lỗ hổng logic nào trong hợp đồng thông minh đều có thể dẫn đến thiệt hại hàng triệu USD. Các nhà đầu tư cần cẩn trọng hơn trong việc đánh giá rủi ro của “từ”token phái sinh“như”từ”yETH“và yêu cầu tính minh bạch từ phía dự án trong việc bảo vệ thanh khoản.

Từ khóa: “từ”Yearn Finance“, ”từ“yETH“, ”từ“hợp đồng thông minh”, “từ”Tornado Cash“, ”từ“DeFi”