Giao thức DeFi kỳ cựu Yearn Finance tiếp tục trở thành mục tiêu của tin tặc khi vừa ghi nhận một vụ tấn công mới, gây thiệt hại khoảng 300.000 USD, làm dấy lên thêm lo ngại về các rủi ro bảo mật tiềm ẩn từ những đoạn mã cũ còn sót lại trong các dự án blockchain lâu năm. Theo thông tin ban đầu, nguyên nhân của sự cố lần này không đến từ các sản phẩm đang vận hành, mà xuất phát từ một hợp đồng thông minh rất cũ, được triển khai từ năm 2020, thời điểm dự án vẫn còn hoạt động dưới tên gọi iearn – tiền thân của Yearn Finance ngày nay.
Đáng chú ý, đội ngũ Yearn xác nhận rằng toàn bộ các vault hiện tại của giao thức không bị ảnh hưởng, đồng nghĩa với việc người dùng đang gửi tài sản trong các sản phẩm chủ lực của Yearn vẫn an toàn. Tuy nhiên, kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng cũ để rút tiền và nhanh chóng hoán đổi số tài sản đánh cắp thành 103 ETH, cho thấy mức độ tinh vi và tốc độ xử lý rất nhanh nhằm che giấu dòng tiền trên chuỗi.
Vụ việc này xảy ra trong bối cảnh chỉ chưa đầy một tháng trước, Yearn Finance cũng đã phải đối mặt với một cuộc tấn công nghiêm trọng khác liên quan đến pool yETH, gây thiệt hại lên tới khoảng 9 triệu USD. Dù đội ngũ dự án đã phối hợp với nhiều bên để truy vết và thu hồi tài sản, số tiền lấy lại được cho đến nay mới chỉ vào khoảng 2,4 triệu USD, tức chưa đến một phần ba tổng thiệt hại. Chuỗi sự cố liên tiếp khiến cộng đồng DeFi đặt câu hỏi về những “quả bom hẹn giờ” nằm trong các hợp đồng cũ, từng được triển khai từ giai đoạn sơ khai của thị trường, khi tiêu chuẩn bảo mật và quy trình audit còn chưa hoàn thiện như hiện nay.
