Yearn Finance Terkena Eksploitasi Baru saat Penyerang Mencetak Triliunan Token yETH

Sumber: DefiPlanet Judul Asli: Yearn Finance Terkena Eksploitasi Baru saat Penyerang Mencetak Triliunan Token yETH Tautan Asli:

Ringkasan Cepat

• Penyerang mengeksploitasi kontrak yETH lama untuk mencetak lebih dari 235 triliun token dan menguras kolam Balancer.
• Setidaknya $3M telah bergerak melalui Tornado Cash, dengan lebih banyak dana yang masih terhubung ke dompet penyerang.
• Yearn mengatakan bahwa V2 dan V3 vault-nya tetap aman, membatasi dampak pada infrastruktur yang sudah usang.

Serangan infinite-mint menguras jutaan dari kolam penyeimbang

Yearn Finance sedang menghadapi pelanggaran keamanan baru setelah seorang penyerang memanfaatkan celah lama dalam kontrak token yETH legasinya. Pada akhir 30 November, penyerang mengaktifkan kerentanan pencetakan tanpa batas yang memungkinkan mereka untuk menghasilkan lebih dari 235 triliun token yETH dalam satu transaksi, jumlah yang jauh melebihi apa yang seharusnya ada.

Kami sedang menyelidiki insiden yang melibatkan kolam stableswap yETH LST.

Yearn Vaults ( baik V2 dan V3) tidak terpengaruh.

Bersenjatakan dengan kumpulan token besar ini, penyerang dengan cepat menguras kolam Balancer yang memegang aset nyata, termasuk ETH dan derivatif staking cair utama. Kolam yETH stableswap dikuras dalam hitungan menit, menghasilkan defisit diperkirakan $2,8 juta.

Insiden terbatas pada produk yETH lama, bukan brankas modern

Yearn Finance mengkonfirmasi bahwa masalah tersebut berasal dari versi lama logika yETH-nya, menekankan bahwa cacat tersebut tidak mempengaruhi brankas V2 atau V3-nya. Protokol yang dibangun di atas Yearn V3, seperti Katana, juga melaporkan tidak ada eksposur.

Analis keamanan mencatat bahwa sekelompok kontrak pembantu muncul sebentar sebelum serangan dan menghancurkan diri sendiri setelah kolam dikuras, taktik evasif yang umum digunakan untuk mengaburkan jejak di blockchain. Tinjauan awal menunjukkan bahwa eksploitasi berasal dari kelemahan pencetakan yang dikenal dalam kontrak lama, bukan arsitektur saat ini dari Yearn.

Protokol ini mempertahankan program hadiah bug aktif yang menawarkan hingga $200,000 untuk temuan kritis, meskipun tidak ada rencana pemulihan yang diumumkan.

Dana yang dialirkan melalui Tornado Cash di tengah pergerakan yang sedang berlangsung

Pengamat on-chain, termasuk peneliti Togbo, melaporkan bahwa penyerang memindahkan ETH dalam kelompok 100 melalui Tornado Cash tak lama setelah eksploitasi. Sekitar 1.000 ETH dicampur dalam hitungan jam, sementara aset tambahan senilai beberapa juta dolar tetap ada di dompet penyerang.

Kolam yETH memiliki sekitar $11 juta sebelum pelanggaran. Yearn menegaskan bahwa dana pengguna di brankas aktif aman, meskipun angka kerugian akhir masih dihitung.

Insiden ini menambah sejarah Yearn dalam menangani risiko warisan, mengikuti eksploitasi yDAI pada tahun 2021 dan kesalahan konfigurasi perbendaharaan pada tahun 2023.