Yearn Financeは、無許可のYETHミンティング事件後、$9 百万ドルの損失を確認しました。

攻撃者はレガシーyETH契約を悪用し、2つの流動性プールからほぼ$9 百万を引き出しました。

約$3 百万の盗まれたETHがTornado Cashを通じて移動され、$6 百万が攻撃者のウォレットに残っています。

Yearn Financeは、問題がレガシー製品のみに影響を与えたことを確認し、調査は続いているものの回復プランは発表されていません。

Yearn Financeは、攻撃者がカスタムプールにアクセスし、無制限のyETHトークンを作成した後、大規模なセキュリティインシデントを報告しました。この事件は、ほぼ$9 百万の損失を引き起こし、直ちに調査活動を促しました。プラットフォームは、この問題がレガシー製品に関連しており、アクティブなボールトには影響しなかったと述べました。この侵害は、調査官が盗まれた資産の動きを追跡する中で、分散型金融セクター全体に新たな注目を引き起こしました。

無許可のトークン作成が大規模な資産流出を可能にする

このイベントは、11月30日21:11 UTCに発生し、攻撃者がYearnのyETHトークンに関連する契約を標的にしました。調査者は、その契約がプラットフォームの主要な提供とは異なる独自の設計を使用していると述べました。この設計により、攻撃者が意図された限度を大幅に超えてyETHトークンをミントすることが可能になりました。その過剰なミントは、接続された流動性プールからの直接の引き出しを可能にしました。

攻撃者は主要なステーブルスワッププールから約$8 百万を引き出しました。さらに、攻撃者はCurve上でホストされているyETH-WETHプールから約$0.9百万を抽出しました。合計損失は$9 百万に達しました。この事件は単一の実行で発生し、調査官はそれをアクセス可能な流動性の迅速な排出と表現しました。

攻撃に続くトルネードキャッシュを通じた資金の移動

無断引き出しの直後、追跡グループは攻撃者が盗まれた資金の一部を移動させるのを観察しました。PeckShieldAlertの分析者は、攻撃者が約1,000 ETHを移動させたと報告しました。これは約$3 百万ドルの価値があります。Tornado Cashを通じてこのサービスは一般的に取引の隠蔽を可能にし、次のステップの目的地に対する視認性を制限します。

攻撃者は残りの資産を保持しました。ウォレットの記録によると、アドレス0xa80d…c822によって特定されたさまざまなトークンに約$6 百万がまだ保有されていることが示されました。これらの保有には、初期の排出中に取得された複数のステークされたEthereumデリバティブが含まれていました。

Yearn Financeチームが調査を継続しながら対応

Yearn Financeは、悪用がレガシーyETH製品のみに影響を及ぼしたと述べました。チームは、アクティブなボールトとユーザーのポジションは露出しなかったと報告しています。セキュリティパートナーと監査グループは現在、契約の弱点を許可した原因と不正なミントがどのように発生したのかを特定するためにこの事件をレビューしています。Yearn Financeは資産回収プロセスを発表していません。調査者は引き続き資金の動きを記録し、侵害された契約を分析しています。市場データによると、ガバナンストークンYFIは事件後、約$3,956で取引され、約4.4%の減少を記録しました。