Theo công ty bảo mật PeckShield, một bug tồn tại trong token của giao thức tài chính phi tập trung Yearn Finance đã bị khai thác vào ngày hôm nay (14/3), dẫn đến thiệt hại lên đến trên 11 triệu USD xảy ra trên Aave v1. Khoản tiền bị đánh cắp bao gồm nhiều stablecoin như Dai (DAI), Tether (USDT), USD Coin (USDC), Binance USD (BUSD) và True USD (TUSD).
Hiện ít nhất 8 triệu stablecoin vẫn còn đang nằm trong tay kẻ tấn công, phần lớn trong số đó đã được swap sang DAI. Trong khi phần còn lại đã được đổi thành Ether (ETH) và đang được gửi tới trình mixer Tornado Cash để xóa nguồn gốc.
Tuy nhiên vụ tấn công này lại đi kèm với một chi tiết khá bất ngờ khi một số người dùng kiếm được tiền thay vì bị mất chúng. Marc Zeller, người sáng lập sáng kiến Aave-Chan kiêm cựu trưởng nhóm tích hợp Aave, cho biết lý do của việc này là vì kẻ khai thác đã trả lại các khoản nợ USDT của người dùng Aave như một phần của vụ tấn công flash loan.
Trang CoinDesk ước tính, người dùng đã thu lại được hơn 350.000 đô la khi mà kẻ khai thác đã hoàn trả mọi vị trí USDT trên phiên bản Aave v1 của một bộ phận người dùng. Vào ngày 13/4 – một ngày trước khi vụ tấn công diễn ra, 27% số tiền trong USDT pool đã được cho vay, nhưng tại thời điểm viết bài, số USDT được vay trên giao thức v1 của Aave hiện ở mức 0,00 đô la. Theo trang web dành cho thị trường USDT v1 của Aave, khoảng 1,31 triệu USDT hiện đang có sẵn để thanh khoản,.