L'utente deltatiger.eth di Goldfinch Finance è stato hackerato, finora sono stati rubati 330.000 dollari

Secondo la piattaforma di sicurezza blockchain PeckShield, un utentedentdella piattaforma DeFi basata su EthereumGoldfinch Finance ha subito un exploit che ha portato a perdite per circa 330.000 dollari.

Martedì X PeckShieldAlert ha segnalato che l'aggressore dell'utente Goldfinch deltatiger.eth ha inviato circa 118 ETH a Tornado Cash dopo aver hackerato un vecchio smarttracsu Ethereum.

Iltraccompromesso,dentcome 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, ha consentito al criminale di prendere il controllo del portafoglio di deltatariger e di prosciugare i fondi.

#PeckShieldAlert @goldfinch_fidi @deltatigernz è stato attaccato, subendo una perdita di circa 330.000 dollari.

L'hacker ha depositato 118 $ETH dei fondi rubati in #TornadoCash.

le approvazioni per questo contrattotracimmediatamente pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2 dicembre 2025

La vulnerabilità risiedeva nella funzione collectInterestRepayment() deltrac, che può trasferire USDC da qualsiasi indirizzo che conceda l'approvazione. Secondo quanto riferito, l'aggressore ha depositato 1.000 USDC e ha ripetutamente prelevato fondi dopo aver gonfiato artificialmente il prezzo delle azioni.

PeckShield ha avvertito gli utenti di "revocare immediatamente tutte le approvazioni sul contrattotracper impedire all'hacker di rubare altri token, continuando a utilizzare il mixer di criptovalute Tornado Cash per riciclare quelli rubati. 

Finora non ci sono stati aggiornamenti da deltatiger e Goldfinch e nessuna delle due entità ha rivelato se l'aggressore ha comunicato con loro dopo che l'exploit ha avuto luogo intorno alle 9:30 UTC di oggi.

Il metodo di prestito decentralizzato di Goldfinch Finance è stato criticato

Goldfinch Finance è un protocollo di finanza decentralizzata (DeFi) supportato dai principali attori del settore delle criptovalute, tra cui a16z Crypto e Coinbase Ventures. 

A differenza della maggior parte delle piattaforme di prestito di criptovalute, Goldfinch non richiede ai richiedenti di fornire garanzie. Possono invece presentare proposte di prestito per la revisione da parte di finanziatori e revisori, che vengono poi emesse se le proposte ottengono un supporto sufficiente. I fornitori di liquidità, i finanziatori e i revisori guadagnano interessi come ricompensa, mentre i richiedenti accedono al capitale senza dover fornire garanzie. 

Il protocollo è stato lanciato su Ethereum a febbraio 2021, erogando inizialmente prestiti per un valore di 1 milione di dollari. La versione 1.1 è stata lanciata un mese dopo, a marzo 2021, e Goldfinch ha raccolto 11 milioni di dollari di finanziamenti da Andreessen Horowitz mesi dopo. Nell'ottobre 2021, la piattaforma ha stretto una partnership con Nexus Mutual, consentendo ai fornitori di liquidità e ai finanziatori di acquistare assicurazioni tramite smarttrac. 

Secondo il terminale token di Coingecko, il protocollo Goldfinch ha una capitalizzazione di mercato completamente diluita di 30,5 milioni di dollari, un volume di scambi di token di 12,4 milioni di dollari negli ultimi 30 giorni e prestiti attivi per un totale di 91,3 milioni di dollari.

Nel 2023, una società finanziaria di motociclette dell'Africa orientale chiamata Tugende Kenya è risultata inadempiente su un prestito in criptovaluta di 5 milioni di dollari dopo aver presumibilmente concesso un prestito non autorizzato alla sua società madre con sede in Uganda, violando i termini del prestito.

Warbler Labs, la società madre di Goldfinch, ha scoperto che Tugende Kenya aveva dirottato quasi 2 milioni di dollari verso la sua società madre. La violazione è stata scoperta a dicembre di quell'anno, ma i registri aziendali mostrano che è stata segnalata sul forum di governance di Goldfinch nel febbraio 2024.

Un altro default si è verificato nel 2024, coinvolgendo la società di credito privata con sede a Singapore Lend East, che ha dichiarato di poter rimborsare solo circa 4,25 milioni di dollari di un prestito di 10,15 milioni di dollari ricevuto dal pool Goldfinch. L'importo era inferiore del 58% al valore di rimborso e rappresentava il 7,7% del totale dei prestiti attivi di Goldfinch. 

Il pool Lend East aveva una durata di 25 mesi, con scadenza il 3 aprile 2024, e offriva un APY del 17% in USDC o un APY variabile del 28% in GFI. I membri della community Discord hanno affermato che 750.000 dollari presi in prestito da Goldfinch sono stati utilizzati per rimborsare altri debitori, violando il contratto di prestito originale.

Dicembre accoglie i protocolli DeFi con perdite dovute agli attacchi informatici

L'attacco hacker a Goldfinch arriva appena 24 ore dopo che Yearn Finance ha subito una violazione del sistema di conio illimitato di yETH, svuotando l'intero pool di yETH in un'unica transazione. Secondo il Cryptopolitandi report, gli hacker hanno generato un numero pressoché infinito di token yETH,tracCashCash CashCashCashCash CashCash.

yETH è un token indicizzato basato su diverse versioni di ETH in staking liquido, note come Ethereum Liquid Staking Derivatives (LST). L'exploit è stato segnalato dall'utente X Togbe, che ha notato "transazioni pesanti" su LST, tra cui Yearn, Rocket Pool, Origin e Dinero.

Yearn Finance ha confermato l'dent tramite il suo account ufficiale X, ma ha assicurato agli utenti che i Vault V2 e V3 erano sicuri. Si tratta del secondo attacco dal 2021, quando la violazione del vault yDAI di Yearn ha causato una perdita di 2,8 milioni di dollari e uno script difettoso nel dicembre 2023 ha cancellato il 63% di una posizione di tesoreria.

Domenica scorsa, la società di sicurezza blockchain CertiK ha riferito che il settore delle criptovalute ha subito perdite stimate in 127 milioni di dollari a causa di attacchi hacker e exploit nel mese di novembre. Il rapporto mensile sulle minacce pubblicato dall'azienda ha evidenziato che i fondi effettivamente compromessi hanno superato i 172 milioni di dollari, sebbene circa 45 milioni siano stati successivamente recuperati.