Yearn Finance зазнала нової атаки, коли зловмисник випустив трильйони токенів yETH

Джерело: DefiPlanet Оригінальна назва: Yearn Finance зазнав нового експлуатації, оскільки зловмисник випустив трильйони токенів yETH Оригінальне посилання:

Швидкий огляд

• Зловмисник скористався застарілим контрактом yETH, щоб випустити понад 235 трильйонів токенів та висосати ліквідність з пулів Balancer.
• Принаймні $3M пройшов через Tornado Cash, з більшою кількістю коштів, все ще пов'язаних з гаманцями атакуючого.
• Yearn повідомляє, що його сховища V2 та V3 залишаються захищеними, обмежуючи вплив на застарілу інфраструктуру.

Атака безкінечного мінту висмоктує мільйони з пулів балансу

Yearn Finance стикається з новим витоком безпеки після того, як зловмисник використав давній недолік у своєму контракті токена yETH. Пізно 30 листопада експлойтер активував вразливість безкінечного мінтування, що дозволило йому згенерувати понад 235 трильйонів токенів yETH в одній транзакції, що є кількістю, яка значно перевищує те, що повинно існувати.

Ми розслідуємо інцидент, пов'язаний із пулом стейблсвапів yETH LST.

Vaults Yearn ( як V2, так і V3) не підлягають впливу.

Озброєний цим масивним пакетом токенів, зловмисник швидко виснажив пул Balancer, що містив реальні активи, включаючи ETH та основні ліквідні стейкінгові деривативи. Пул yETH стейблсвап було виснажено протягом кількох хвилин, в результаті чого утворився оцінений дефіцит у $2.8 мільйона.

Інцидент обмежений старим продуктом yETH, а не сучасними сейфами

Yearn Finance підтвердив, що проблема виникла через застарілу версію його логіки yETH, підкреслюючи, що дефект не впливає на його сховища V2 або V3. Протоколи, побудовані на Yearn V3, такі як Katana, також повідомили про нульове вплив.

Аналітики з безпеки зауважили, що кластер допоміжних контрактів з'явився ненадовго перед атакою і самознищився після того, як пул був спустошений, це ухильна тактика, яка зазвичай використовується для розмиття слідів у блокчейні. Попередні огляди свідчать про те, що експлуатація походила з відомої вразливості при карбуванні в застарілому контракті, а не в поточній архітектурі Yearn.

Протокол підтримує активну програму нагороди за виявлення помилок, що пропонує до 200 000 доларів США за критичні знахідки, хоча план відновлення не був оголошений.

Кошти, що проходять через Tornado Cash на фоні триваючого руху

Ончейн-наглядачі, зокрема дослідник Тогбо, повідомили, що зловмисник перемістив ETH партіями по 100 через Tornado Cash незабаром після експлуатації. Приблизно 1,000 ETH було змішано протягом кількох годин, тоді як додаткові активи вартістю кілька мільйонів доларів залишаються в гаманцях зловмисника.

Пул yETH утримував близько $11 мільйона до порушення. Yearn підтвердив, що кошти користувачів у активних сховищах безпечні, навіть коли остаточні цифри збитків ще підраховуються.

Цей інцидент додає до історії Yearn з управління спадковими ризиками, після експлуатації yDAI у 2021 році та неправильного налаштування казначейства у 2023 році.