Сьогодні вранці, 13 квітня, мережеві аналітики з 0xScope і Lookonchain заявили про те, що протоколи Yearn Finance і Aave зазнали злому. Судячи з усього, хакер використовує флеш-кредитування, і він уже вивів близько $10 млн у стейблкоїнах.

У своїй публікації 0xScope стверджують, що атака триває «в реальному часі». Користувачів закликають терміново відкликати дозволи і вивести кошти.

Також у повідомленні вказані адреси зломщика(одна і друга). Одна з них уже неактивна, другу було створено сьогодні. На момент написання статті баланс на ній становить $5,78 млн. Це наштовхує на думку, що хакер встиг перевести частину вкраденого в мікшер.

Ймовірний збиток включає:

• 3,03 млн DAI;
• 2,57 млн USDC;
• 1,78 млн BUSD;
• 1,5 млн TUSD;
• 1,19 млн USDT.

Обидві платформи поки що ніяк не прокоментували ситуацію.

Що таке «флеш-кредити»?

Це зручний інструмент для швидкої позики невеликої суми в криптовалюті з умовою повернення в тому ж блоці. Основна сфера їх застосування — арбітраж. Але водночас хакери часто використовують флеш-кредити для «злому» платформ.

Безпосередньо сам цей інструмент часто не має критичних вразливостей. Хакери використовують флеш-кредити для маніпулювання цінами, «підігріваючи» курс того чи іншого активу.

Одним з останніх прикладів використання цього інструменту є злам Euler Finance. На щастя, хакер вирішив повернути всі вкрадені кошти, і майданчик уже почав повертати їх.