Yearn Financeは、Balancerの事件と同様に、無制限のミント攻撃で900万ドルを失いましたか?

分散化収益プロトコル Yearn Finance 再度重大なセキュリティ事件が発生し、その Yearn Ether (yETH) 流動性プールが本日契約攻撃を受け、ハッカーはカスタマイズされた安定交換契約の脆弱性を利用して「無限鋳造」操作を成功させ、プール全体を抜き取ることに成功しました。最終的に約 900 万ドルの損失をもたらしました。Yearn はこの事故が単一のカスタム契約に限られており、他の Vault 製品には影響がないことを強調しています。

攻撃はどのように発生するのか？Yearnは無限発行攻撃を受け、900万ドルの損失を被った

オンチェーンモニターのTogbeは、彼が最初にyETHに関連するアドレスで大量の疑わしい操作が続けて発生しているのを観察したことを指摘しています。これには、一時的なコントラクトのデプロイ、奇妙な交換パス、Tornado Cashとの大量の相互作用が含まれます。その後、yETHが使用しているカスタマイズされた安定交換(stableswap)コントラクトに関する攻撃の核心が明らかになりました。

彼は、yETH自体がYearnによって複数のLSTを統合するために設計された指数型資産であり、攻撃者がその契約ロジックにある脆弱性を突き、ほぼ無限にyETHを鋳造できるようになったことを指摘しました。これらのトークンはその後、プール内の実際の資産、ETHや他のLSTに交換され、単一の取引でプール全体が空にされました。

契約は天文学的な数字レベルの yETH を鋳造しました

報告によると、この攻撃は複数の一時的にデプロイされたスマートコントラクトによって構成されています。その中には攻撃完了後に即座に自己破壊するコントラクトもあり、攻撃経路が緻密に推演されていることを示し、追跡の難易度も高めています。最初、外部では約1,000 ETH ( 約300万ドル) がTornado Cashに転送されたことしか見えませんでしたが、実際にはこの事件の損失はそれ以上に大きいです。

影響は拡大するのか？YearnはV2、V3およびその他の製品が安全であることを強調しています。

Yearn の公式もすぐに発表を行い、主要なプールの損失が約 800 万ドルであり、さらに Curve 上の yETH-WETH プールから約 90 万ドルの損失があったと述べ、総損失は約 900 万ドルに達するとしています。

チームはすぐにユーザーを安心させ、今回の事件はyETHが使用しているカスタマイズされた安定(stableswap)契約にのみ関連しており、Yearnの主要なデプロイされたVault設計には関与していないことを強調しました。言い換えれば、V2およびV3 Vaultは影響を受けておらず、yCRV、Katana、Morphoなどの関連製品も正常に機能しています。

不幸中の大幸は、yETHが市場の主要な貸出プロトコルで担保として使用されなかったため、連鎖的な清算やシステム的な圧力を引き起こさず、影響が比較的限られた範囲に抑えられたことです。

セキュリティチームのShieldは、Tornado Cashに洗浄された資金の一部を除いて、攻撃者のアドレスには現在、約600万ドルが未移動のまま残っており、調査の進展を観察している可能性があると指摘しました。

手法は Balancer 攻撃に類似しており、その後の調査はまだ進行中です。

Yearn チームは、この攻撃の複雑さが非常に高く、最近の Balancer の事件といくつかの類似点を持つことを示しています。これには、複数のレイヤーの契約の相互作用、取引ロジック、および曲線価格モデルに対する深い理解が含まれます。公式は、複数の監査パートナー ChainSecurity と協力して、全面的な調査を進めており、できるだけ早くさらなる完全な報告を発表する予定です。

(Balancer連鎖反応? Stream Financeは9,300万ドルの損失で爆発的に増加し、xUSDデカップリングは崩壊しました)

この記事では、Yearn Financeが無限発行攻撃によって900万ドルの損失を被ったことが、Balancer事件に類似しているかどうかについて述べています。最初に登場したのは、ブロックチェーンニュースのABMediaです。