Yearn Finance Atacada por Novo Exploit enquanto Atacante Cria Trilhões de Tokens yETH

Fonte: DefiPlanet Título Original: Yearn Finance Atacada por Novo Exploit enquanto Atacante Cria Trilhões de Tokens yETH Link Original:

Resumo Rápido

• O atacante explorou um contrato yETH legado para cunhar mais de 235 trilhões de tokens e drenar os pools da Balancer.
• Pelo menos $3M foi movimentado através do Tornado Cash, com mais fundos ainda ligados às carteiras do atacante.
• Yearn afirma que os seus cofres V2 e V3 continuam seguros, limitando o impacto a infraestruturas desatualizadas.

Ataque de mint infinito drena milhões das pools do balancer

O Yearn Finance está enfrentando uma nova violação de segurança após um atacante ter explorado uma falha de longa data em seu contrato de token yETH legado. No final do dia 30 de novembro, o explorador ativou uma vulnerabilidade de mint infinito que lhes permitiu gerar mais de 235 trilhões de tokens yETH em uma única transação, uma oferta muito além do que deveria existir.

Estamos investigando um incidente envolvendo o pool de stableswap yETH LST.

Yearn Vaults ( tanto V2 como V3) não são afetados.

Armado com este enorme lote de tokens, o atacante esvaziou rapidamente as pools da Balancer que detinham ativos reais, incluindo ETH e principais derivados de staking líquido. A pool de stableswap yETH foi esvaziada em minutos, resultando em um déficit estimado de 2,8 milhões de dólares.

Incidente confinado ao antigo produto yETH, não aos cofres modernos

A Yearn Finance confirmou que o problema decorreu de uma versão desatualizada da sua lógica yETH, enfatizando que a falha não afeta os seus cofres V2 ou V3. Protocolos construídos na Yearn V3, como o Katana, também relataram zero exposição.

Os analistas de segurança observaram que um cluster de contratos auxiliares apareceu brevemente antes do ataque e se autodestruiu assim que as pools foram esvaziadas, uma tática evasiva comumente usada para obscurecer os rastros na cadeia. As primeiras análises sugerem que a exploração se originou de uma fraqueza conhecida de mintagem no contrato legado, não na arquitetura atual da Yearn.

O protocolo mantém um programa ativo de recompensas por bugs, oferecendo até 200.000 dólares por descobertas críticas, embora nenhum plano de recuperação tenha sido anunciado.

Fundos encaminhados através do Tornado Cash em meio a movimento contínuo

Os observadores on-chain, incluindo o pesquisador Togbo, relataram que o atacante moveu ETH em lotes de 100 através do Tornado Cash logo após a exploração. Aproximadamente 1.000 ETH foram misturados em poucas horas, enquanto ativos adicionais no valor de vários milhões de dólares permanecem nas carteiras do atacante.

A piscina yETH tinha cerca de $11 milhões antes da violação. A Yearn reiterou que os fundos dos usuários em cofres ativos estão seguros, mesmo que os números finais das perdas ainda estejam a ser contabilizados.

O incidente acrescenta-se à história da Yearn na gestão de riscos legados, após a exploração do yDAI em 2021 e uma má configuração do tesouro em 2023.