Yearn Finance подтверждает убыток в $9 миллионов после инцидента с несанкционированным чеканкой YETH.

Злоумышленник использовал старый контракт yETH и вывел почти $9 миллион из двух пулов ликвидности.

Около $3 миллиона украденного ETH было перемещено через Tornado Cash, в то время как $6 миллион остается в кошельке нападающего.

Yearn Finance подтвердил, что проблема затронула только устаревший продукт, поскольку расследования продолжаются без объявленного плана восстановления.

Yearn Finance сообщила о крупном инциденте с безопасностью после того, как злоумышленник получил доступ к пользовательскому пулу и создал неограниченный объем токенов yETH. Это событие вызвало убытки почти в $9 миллионов и побудило к немедленным усилиям по расследованию. Платформа заявила, что проблема касалась устаревшего продукта и не затронула активные хранилища. Нарушение привело к новому вниманию к сектору децентрализованных финансов, так как следователи отслеживали перемещение украденных активов.

Несанкционированное создание токенов позволяет крупное истощение активов

Событие произошло 30 ноября в 21:11 UTC, когда злоумышленник нацелился на контракт, связанный с токеном yETH от Yearn. Следователи заявили, что контракт использовал уникальный дизайн, который отличался от основных предложений платформы. Этот дизайн создал лазейку, которая позволила злоумышленнику создавать токены yETH далеко за пределами запланированных лимитов. Создание избыточного количества токенов затем позволило осуществлять прямые выводы из связанных пулов ликвидности.

Злоумышленник удалил около $8 миллионов из основного пула стейблсвап. Кроме того, злоумышленник извлек около 0,9 миллиона долларов из пула yETH-WETH, размещенного на Curve. Совокупные потери составили почти $9 миллион. Инцидент произошел за одно исполнение, которое следователи охарактеризовали как быстрое истощение доступной ликвидности.

Перемещение средств через Tornado Cash следует за атакой

Вскоре после несанкционированных выводов средств группы по отслеживанию заметили, как злоумышленник переводит часть украденных средств. Аналитики PeckShieldAlert сообщили, что злоумышленник переместил примерно 1,000 ETH, стоимостью около $3 миллионов, через Tornado Cash. Эта услуга обычно позволяет скрывать транзакции, что ограничивает видимость следующих мест назначения.

Атакующий сохранил контроль над оставшимися активами. Записи кошелька показали около $6 миллионов в различных токенах, все еще находящихся по адресу, идентифицированному как 0xa80d…c822. Эти активы включали несколько ставленных деривативов Ethereum, взятых во время первоначального оттока.

Команда Yearn Finance отвечает, пока продолжается расследование

Yearn Finance заявил, что атака затронула только устаревший продукт yETH. Команда сообщила, что активные хранилища и позиции пользователей не подверглись риску. Партнеры по безопасности и аудиторские группы сейчас рассматривают инцидент, чтобы определить, что позволило возникнуть уязвимости контракта и как произошло несанкционированное чеканка. Yearn Finance не объявила о процессе восстановления активов. Следователи продолжают документировать движение средств и анализировать скомпрометированный контракт. Рыночные данные показали, что токен управления YFI торговался около $3,956 после инцидента и зафиксировал снижение примерно на 4,4%.