TechFlow đưa tin, ngày 29 tháng 4, theo dữ liệu giám sát từ nhà phân tích chuỗi PeckShield (@PeckShieldAlert), một người dùng đã bị tấn công vị thế Alchemix Yearn yvVault (token $yvWETH), gây thiệt hại ước tính khoảng 1 triệu USD.
Nguyên nhân tấn công bắt nguồn từ việc người dùng này trước đó đã cấp quyền (approve) cho một hợp đồng chưa được xác minh (địa chỉ hợp đồng: 0x143a), được triển khai cách đây 10 ngày. Qua phân tích phản biên dịch (decompilation), phát hiện hợp đồng này chứa lỗ hổng cho phép thực thi lệnh gọi tùy ý (arbitrary call execution). Kẻ tấn công đã lợi dụng lỗ hổng này để chuyển thành công vị thế yvVault của nạn nhân.
Hiện PeckShield đã công khai tiết lộ logic cụ thể của lỗ hổng này. Người dùng được khuyến nghị kiểm tra và hủy bỏ các quyền cấp token cho các hợp đồng chưa biết hoặc chưa được xác minh nhằm giảm thiểu rủi ro đối với tài sản của mình.
