Le Yield Protocol (YO) a subi une perte d'environ 3,73 millions de dollars le mardi 13 janvier, après qu'un échange dans un coffre a converti environ 3,84 millions de dollars de stkGHO, une version mise en dépôt du stablecoin GHO d'Aave, en seulement environ 122 000 dollars en USDC, selon les entreprises de sécurité blockchain PeckShield et BlockSec.
PeckShieldAlert dit dans un message sur X que la perte s'est produite lors d'un échange de stkGHO vers USDC en raison d'un glissement extrême. Le glissement se produit lorsque le prix d'un échange est pire que prévu, souvent pendant des mouvements rapides du marché ou lorsqu'il n'y a pas suffisamment de liquidité pour un échange important.
BlockSec a dit l'échange a eu lieu sur Ethereum et l'a décrit comme un échange "bizarre". Pendant ce temps, QuillAudits a dit le commerce aurait pu être acheminé via une piscine Uniswap v4, qui utilise des « hooks » pouvant rendre les échanges plus complexes et plus difficiles à prévoir.
Les chercheurs en sécurité ont souligné que l'incident n'était pas un piratage ou une faille de contrat intelligent. Néanmoins, l'incident met en lumière un risque clé dans la finance décentralisée (DeFi) : même sans piratage, des opérations de grande envergure peuvent entraîner des pertes importantes si elles sont effectuées via des liquidités faibles ou des pools à fortes commissions.
YO aurait adressé un message à la personne ayant reçu les fonds, décrivant l'événement comme un "échange involontaire" et proposant qu'elle garde 10 % des recettes en guise de récompense pour bug et qu'elle rende le reste, selon Defimon Alerts, qui partagé le message sur X.
QuillAudits a également noté que l'équipe a réagi rapidement après l'échange, rachetant environ 3,7 millions de dollars de GHO et redéposant le stkGHO dans la trésorerie. L'entreprise a également indiqué que YO avait temporairement suspendu le marché YoUSD sur Pendle avant de le réactiver après la recapitalisation.
L'incident a rapidement suscité des critiques sur les réseaux sociaux, certains utilisateurs se demandant à propos des mesures de contrôle des risques du protocole et de la manière dont l'échange a été exécuté. De nombreux observateurs ont accusé l'équipe de négligence pour avoir permis à un tel échange d'avoir lieu.
YO n’a pas publié d’explication publique complète à la date de la publication. The Defiant a contacté l’équipe pour obtenir des commentaires, mais n’a pas encore reçu de réponse.