Nag-antala ang Yield Protocol (YO) ng isang kasiyahan na $3.73 milyon noong Martes, Enero 13, matapos ang isang vault swap ay nagbago ng humigit-kumulang $3.84 milyon halaga ng stkGHO, isang naka-stake na bersyon ng GHO stablecoin ng Aave, sa humigit-kumulang $122,000 na USDC, ayon sa mga kumpaniya ng seguridad sa blockchain na PeckShield at BlockSec.
PeckShieldAlert sinabi sa isang post sa X na ang pagkawala ay nangyari noong isang palitan mula sa stkGHO patungo sa USDC dahil sa ekstremong pagkalantad. Ang pagkalantad ay nangyayari kapag isang kalakalan ay isinasagawa sa mas masamang presyo kaysa inaasahan, kadalasan noong mabilis na galaw ng merkado o kapag wala nang sapat na likididad para sa isang malaking kalakalan.
BlockSec nagsabi nagawa ang palitan sa Ethereum at inilarawan ito bilang isang "kakaiba" na palitan. Samantala, QuillAudits nagsabi maaring ang kalakalan ay ginawa sa pamamagitan ng isang Uniswap v4 pool, na gumagamit ng "hooks" na maaaring gawing mas komplikado at mas mahirap asahan ang mga palitan.
Iminungkahi ng mga mananaliksik sa seguridad na hindi ito isang exploit ng smart contract o isang pambobogobogo. Gayunpaman, ipinapakita ng insidente ang isang pangunahing panganib sa decentralized finance (DeFi): kahit na walang pambobogobogo, maaaring magresulta ang malalaking transaksyon sa malalaking pagkawala kung inilalagay sa pamamagitan ng mahinang likididad o mataas na bayad na pool.
Sinasabi ng Defimon Alerts na in-address ni YO ang tatanggap ng pera sa isang on-chain na mensahe, tinutukoy ang pangyayari bilang isang "unintended swap" at nagmungkahi na panatilihin nila ang 10% ng kita bilang isang bug bounty at ibalik ang natitira. nai-share ang mensahe sa X.
Nanatiling naitala ng QuillAudits na mabilis kumilos ang koponan pagkatapos ng palitan, bumili ng humigit-kumulang $3.7 milyon halaga ng GHO at idineposito muli ang stkGHO sa vault. Ang kumpanya ay nagsabi rin na pansamantalang inilalaan ni YO ang merkado ng YoUSD sa Pendle bago ito muli pinagana pagkatapos ng pagsasaayos ng pondo.
Mabilis na tumugon ang mga tao sa social media tungkol sa insidente, may ilang mga user na nagtatanong tungkol sa risk controls ng protocol at kung paano isinagawa ang palitan. Ang maraming mga nanonood ay nag-akusahan ng team ng pagkakalimot dahil pinahintulutan nila ang ganitong uri ng palitan.
Hindi pa nai-publish ng YO ang isang buong paliwanag sa publiko hanggang sa oras ng pagsusulat. Nakipag-ugnay na ang Defiant sa koponan para sa komento, ngunit hindi pa nakatanggap ng tugon.