Nach Angaben der Sicherheitsrisikoüberwachungs-, Frühwarn- und Blockierungsplattform Beosin EagleEye, einer Tochtergesellschaft des Blockchain-Sicherheitsprüfungsunternehmens Beosin, wurde das Yearn-Projekt am 13. April von Hackern wegen kurzfristiger Kredite angegriffen. Dieser Angriff führte zu Verlusten von mehr als 10 Millionen US Dollar.
Das Beosin-Sicherheitsteam analysierte und stellte fest, dass dieser Angriff durch einen Vertragskonfigurationsfehler verursacht wurde, der zu einer großen Anzahl zusätzlicher yUSDT-Ausgaben führte. Der Angreifer ruft den yUSDT-Vertrag von Yearn auf und kontrolliert den Token-Saldo, wodurch der Wert des Pools ungewöhnlich sinkt. Der Pool wird als Teiler verwendet, um an der Berechnung der Anzahl der geprägten Münzen teilzunehmen. Zu diesem Zeitpunkt ist eine große Menge an yUSDT vorhanden wird für den Angreifer geprägt. Der Angreifer nutzt diese yUSDT, wurde in andere Stablecoins umgewandelt und verließ den Markt. Die Anti-Geldwäsche-Analyseplattform Beosin KYT stellte fest, dass ein Teil der gestohlenen Gelder derzeit an Tornado Cash überwiesen wurde und der Rest ebenfalls an der Adresse des Hackers gespeichert war.