تعرضت Yearn Finance لهجوم طباعة غير محدودة أدى إلى خسارة 9 ملايين دولار، وكانت الطريقة مشابهة لحدث Balancer؟

حدثت مرة أخرى حادثة أمنية كبيرة في بروتوكول العوائد اللامركزية Yearn Finance، حيث تعرض مجمع السيولة Yearn Ether (yETH) لهجوم عقد اليوم، حيث استغل القراصنة ثغرة في عقد التبادل المستقر المخصص، وتمكنوا من تنفيذ عملية “تعدين غير محدود” وسحب كل ما في المجمع، مما أدى في النهاية إلى خسارة تبلغ حوالي 9 ملايين دولار. وأكدت Yearn أن هذه الحادثة تقتصر فقط على عقد مخصص واحد، وأن منتجات Vault الأخرى لم تتأثر.

كيف تحدث الهجمات؟ تعرضت Yearn لهجوم سك غير محدود، مما أدى إلى خسارة قدرها 9 ملايين دولار

أشار مراقبون على السلسلة Togbe إلى أنه لاحظ أولاً ظهور عدد كبير من العمليات المشبوهة المتعلقة بعنوان yETH، بما في ذلك نشر عقود مؤقتة، ومسارات تبادل غريبة، بالإضافة إلى تفاعلات كبيرة مع Tornado Cash. ثم تم توضيح جوهر هذا الهجوم، والذي يتعلق بعقد الاستبدال الثابت المخصص (stableswap) المستخدم من قبل yETH.

وأشار إلى أن yETH هو أصل مؤشري صممه Yearn لدمج مجموعة من LST، بينما اكتشف المهاجم ثغرة في منطق العقد مما أتاح له سك كمية شبه غير محدودة من yETH. ثم تم استبدال هذه الرموز بأصول حقيقية في المجمع، بما في ذلك ETH و LST أخرى، مما أدى إلى تفريغ المجمع بالكامل في صفقة واحدة.

تم سك العقد بمستوى رقمي فلكي من yETH

وفقًا للتقارير، تتكون هذه الهجمة من عدة عقود ذكية تم نشرها بشكل مؤقت. حيث أن بعض العقود تدمرت نفسها على الفور بعد تنفيذ الهجمة، مما يدل على أن مسار الهجوم تم تخطيطه بدقة، مما يزيد من صعوبة تتبعه. في البداية، لم يرَ الجمهور سوى حوالي 1,000 ETH ( حوالي 3 ملايين دولار ) تم تحويلها إلى Tornado Cash، لكن في الواقع، فإن خسائر الحادثة بأكملها أكبر بكثير من ذلك.

هل سيتوسع التأثير؟ تؤكد Yearn أن V2 و V3 والمنتجات الأخرى آمنة.

أصدرت Yearn الرسمية على الفور بيانًا، أشار إلى أن الخسائر في المسبح الرئيسي كانت حوالي 8 ملايين دولار، بالإضافة إلى حوالي 900 ألف دولار من مجمع السيولة yETH-WETH على Curve، ليصل إجمالي الخسائر إلى حوالي 9 ملايين دولار.

فريق العمل طمأن المستخدمين على الفور، مؤكدًا أن هذا الحدث يتعلق فقط بعقد ال(stableswap) المخصص المستخدم في yETH، ولا يتعلق بتصميم Vault الرئيسي الذي نشرته Yearn. بعبارة أخرى، لم تتأثر Vaults V2 و V3، كما أن المنتجات ذات الصلة مثل yCRV و Katana و Morpho تعمل بشكل طبيعي.

الحظ الجيد في الحظ السيئ هو أن yETH لم يتم استخدامه كضمان من قبل بروتوكولات الإقراض الكبرى في السوق، وبالتالي لم يتسبب ذلك في تصفية متسلسلة أو ضغط نظامي، مما سمح للآثار أن تظل تحت السيطرة في نطاق محدود نسبياً.

أشار فريق الأمن السيبراني إلى أنه بالإضافة إلى بعض الأموال التي تم غسلها في Tornado Cash، لا يزال عنوان المهاجم يحتفظ بحوالي 6 ملايين دولار لم يتم نقلها، وقد لا يزالون يراقبون تقدم التحقيق.

تشبه الأسلوب هجوم بالانسير، ولا تزال التحقيقات جارية.

فريق Yearn أشار إلى أن تعقيد هذا الهجوم مرتفع للغاية، بل إنه يشترك في بعض الميزات مع حدث Balancer الأخير، بما في ذلك التفاعل مع عقود متعددة، ومنطق التداول، وفهم عميق لنموذج تسعير المنحنيات. تعمل الإدارة مع العديد من شركاء التدقيق ChainSecurity على إجراء تحقيق شامل، لإصدار تقرير كامل في أقرب وقت ممكن.

(Balancer رد فعل سلسلة؟ Stream Finance تكبدت خسائر بقيمة 9300 مليون دولار، انهيار فك الارتباط xUSD)

هذه المقالة تتحدث عن خسارة Yearn Finance بمبلغ 9 ملايين دولار نتيجة لهجوم طباعة غير محدودة، وتكتيك الهجوم مشابه لحدث Balancer؟ ظهرت لأول مرة في أخبار السلسلة ABMedia.