TechFlow rapporte que, le 29 avril, selon le suivi effectué par l’analyste blockchain PeckShield (@PeckShieldAlert), une position détenue par un utilisateur sur le vault Yearn yvVault d’Alchemix (jeton $yvWETH) a été attaquée, entraînant des pertes estimées à environ 1 million de dollars américains.
L’origine de l’attaque réside dans une autorisation accordée auparavant par cet utilisateur à un contrat non vérifié (adresse du contrat : 0x143a), déployé il y a 10 jours. Une analyse par décompilation a révélé que ce contrat contenait une vulnérabilité permettant l’exécution d’appels arbitraires (arbitrary call execution). Grâce à cette faille, l’attaquant a réussi à transférer la position yvVault de la victime.
PeckShield a désormais rendu publique la logique précise de cette vulnérabilité. Il est recommandé aux utilisateurs de vérifier leurs autorisations de jetons et de révoquer celles accordées à des contrats inconnus ou non vérifiés afin de réduire les risques pour leurs actifs.
