Yearn Finance a de nouveau été attaqué, le pool yETH a perdu 3 millions de dollars d'ETH qui ont été transférés à Tornado Cash.

Le protocole de rendement bien connu de la Finance décentralisée, Yearn Finance, a subi une attaque sur son pool de jetons de staking liquide yETH. L'attaquant a siphonné le pool de liquidités en émettant indéfiniment des yETH, réalisant un profit d'environ 3 millions de dollars d'ETH transférés dans le mélangeur Tornado Cash. Cet événement a causé des pertes considérables au pool yETH, qui valait environ 11 millions de dollars avant l'attaque. L'équipe de Yearn a confirmé qu'elle enquêtait sur cette affaire et a souligné que les Yearn Vaults n'avaient pas été affectés, marquant une nouvelle crise de sécurité pour Yearn après l'incident de vulnérabilité yDAI en 2021.

Analyse complète des incidents d'attaque

Les données de la blockchain montrent que le 14 décembre, le pool de jetons de liquid staking yETH de Yearn Finance a subi une attaque soigneusement orchestrée. L'attaquant a exploité une vulnérabilité du contrat pour générer une quantité presque illimitée de yETH et a vidé l'ensemble du pool de fonds en une seule transaction. yETH, en tant que jeton indiciel regroupant plusieurs jetons de liquid staking populaires, a été conçu pour offrir aux utilisateurs une solution de rendement de staking Ethereum tout-en-un, et cette vulnérabilité menace directement le mécanisme central de ce produit.

Au cours de l'attaque, l'attaquant a déployé plusieurs contrats intelligents entièrement nouveaux pour exécuter le processus d'attaque, certains contrats se détruisant immédiatement après la réalisation de la transaction. Cette méthode d'opération vise clairement à dissimuler les traces de l'attaque et à augmenter la difficulté de traçage. Finalement, l'attaquant a réussi à transférer 1000 ETH (ce qui équivaut à environ 3 millions de dollars au prix de l'époque) dans le protocole de mélange Tornado Cash, cette action ayant encore coupé la traçabilité des flux de fonds.

Cette attaque a d'abord été découverte par un utilisateur de la plateforme X, Togbe, qui a remarqué des activités anormales en surveillant les gros transferts. Togbe a déclaré aux médias : “Les données de transfert net indiquent que la fonction de super-minting de yETH a permis aux attaquants de vider le pool de liquidités, réalisant un profit d'environ 1000 ETH. Bien qu'une partie de l'ETH ait été sacrifiée pendant l'attaque, les attaquants ont tout de même réalisé un bénéfice.” Cette découverte a rapidement alerté la communauté sur cet événement de sécurité.

moment clé de l'attaque

• Exploitation de vulnérabilité : l'attaquant augmente indéfiniment yETH grâce à une fonction de super-minting non autorisée.
• Retrait de fonds : une transaction vide le pool yETH, d'une valeur d'environ 11 millions de dollars
• Transfert de fonds : 1000 jetons ETH (environ 3 millions de dollars) transférés dans Tornado Cash
• Effacement des traces : certains contrats d'attaque s'autodétruisent, augmentant la difficulté de l'enquête.

Analyse approfondie du mécanisme des vulnérabilités techniques

D'un point de vue technique, la vulnérabilité centrale de cette attaque réside dans le défaut de contrôle des permissions de frappe du contrat yETH. Les attaquants semblent avoir trouvé un moyen de contourner les restrictions normales de frappe, déclenchant la fonction dite de “super frappe”, qui aurait dû être activée dans des conditions strictes, mais a été accidentellement accessible par des parties non autorisées. L'indice des jetons de liquid staking implique en soi une conception complexe de l'économie des jetons, et toute vulnérabilité des permissions pourrait entraîner des conséquences catastrophiques.

Les nouveaux contrats déployés par les attaquants avec un mode d'auto-destruction montrent les caractéristiques typiques des opérations de hackers professionnels. En utilisant des contrats jetables, les attaquants non seulement cachent efficacement la logique de l'attaque, mais augmentent également considérablement la difficulté de la collecte de preuves après coup. Les experts en sécurité blockchain soulignent que cette méthode nécessite une compréhension approfondie de l'architecture des contrats de Yearn, ce qui pourrait résulter d'une fuite de code interne ou d'une recherche prolongée en infiltration.

Il est important de noter que yETH, en tant qu'agrégateur de plusieurs jetons de liquid staking, dépend de la bonne ancrage des actifs sous-jacents pour sa stabilité de prix. Lorsque des attaquants émettent yETH en quantité illimitée, les actifs dans le pool sont massivement échangés contre d'autres jetons à forte liquidité, qui sont finalement convertis en ETH pour être retirés. Ce chemin d'attaque expose le risque de point de défaillance unique dans la conception des jetons indexés, c'est-à-dire qu'une fois que la fonction de frappe principale est compromise, l'ensemble du modèle économique s'effondre rapidement.

Historique de sécurité et réponse d'urgence de Yearn

Yearn Finance a rapidement publié une déclaration officielle via la plateforme X après l'incident : « Nous enquêtons sur l'incident impliquant le pool d'échange stable yETH LST, les Yearn Vaults (y compris les versions V2 et V3) n'ont pas été affectés. » Cette réponse rapide aide à stabiliser le moral de la communauté, mais ne peut pas immédiatement récupérer les pertes de fonds. L'équipe examine actuellement en profondeur le code des contrats pour évaluer la cause fondamentale de la vulnérabilité.

En examinant l'histoire de la sécurité de Yearn, ce n'est pas la première fois que ce protocole rencontre de graves vulnérabilités. En 2021, le coffre de yDAI de Yearn a été attaqué, entraînant une perte de valeur de 11 millions de dollars, et l'attaquant a finalement réalisé un bénéfice de 2,8 millions de dollars. En décembre 2023, Yearn a également subi une perte de 63 % sur une position de trésorerie en raison d'une erreur de script, heureusement sans impact sur les fonds des utilisateurs à ce moment-là. Ces événements de sécurité consécutifs ont soulevé des doutes sur la qualité du code de Yearn.

Il est d'autant plus important de noter qu'André Cronje, le fondateur de Yearn, a quitté l'équipe deux ans après le lancement du projet, et son absence est devenue le sujet de discussion de la communauté concernant l'impact sur la feuille de route de développement sécuritaire du protocole. Bien que l'équipe de développement de Yearn ait continué à maintenir activement le protocole, le départ du fondateur a sans aucun doute eu un impact profond sur l'orientation technique du projet. Actuellement, l'équipe de Yearn n'a pas encore publié de plan de compensation spécifique ou de calendrier de correction des vulnérabilités.

Sécurité de l'écosystème Finance décentralisée et conseils de protection des utilisateurs

L'incident d'attaque yETH met à nouveau en évidence les défis de sécurité auxquels le domaine de la Finance décentralisée est confronté. Selon les statistiques des agences de sécurité blockchain, les pertes dans le domaine de la Finance décentralisée dues à des vulnérabilités et à des attaques ont déjà dépassé 400 millions de dollars au premier semestre 2024, les défauts logiques des contrats et un contrôle des droits inapproprié étant les principaux vecteurs d'attaque. Les dérivés de liquid staking, en tant que secteur émergent, avec leur structure de produit complexe, sont plus susceptibles de devenir la cible des hackers.

Pour les utilisateurs ordinaires de la Finance décentralisée, cet événement fournit des indications importantes sur la gestion des risques. Lors de la participation à des produits tels que des jetons d'index ou des agrégateurs, il est essentiel de bien comprendre la situation des audits de sécurité des projets, en particulier en ce qui concerne les paramètres de permission pour les fonctions de création et de rachat de jetons. En même temps, la diversification des investissements reste une stratégie efficace pour réduire le risque associé à un protocole unique, évitant ainsi une exposition excessive à un protocole ou produit spécifique.

D'un point de vue sectoriel, cette attaque pourrait accélérer le développement des produits d'assurance en Finance décentralisée. Des protocoles d'assurance tels que Nexus Mutual ont commencé à fournir une couverture pour divers produits DeFi, tandis que des solutions de garde de niveau institutionnel explorent également des services d'assurance contre les vulnérabilités des contrats intelligents. Avec l'éclaircissement progressif du cadre réglementaire, les normes de sécurité des projets DeFi devraient passer d'audits volontaires à une certification obligatoire, offrant aux utilisateurs une protection plus complète.

Finance décentralisée : le signal d'alarme retentit

L'incident d'attaque du pool Yearn Finance yETH a non seulement exposé la vulnérabilité des produits DeFi complexes en matière de sécurité du code, mais a également suscité une réflexion approfondie sur la durabilité des produits dérivés de staking liquide. Lorsque l'Ethereum aura terminé sa transition vers la preuve d'enjeu, le secteur du staking liquide deviendra un terrain d'expérimentation où l'innovation coexiste avec le risque, et cette perte de 3 millions de dollars rappelle à nouveau à l'industrie : tout en recherchant l'optimisation des rendements, l'architecture de sécurité fondamentale ne doit pas être négligée.

Alors que l'enquête se poursuit, l'équipe de Yearn est confrontée non seulement à des défis de correction technique, mais aussi à une tâche à long terme de reconstruction de la confiance de la communauté. Pour l'ensemble de l'écosystème de la Finance décentralisée, cet incident pourrait devenir une occasion importante de promouvoir l'amélioration des processus d'audit de sécurité normalisés et des programmes de récompense pour les vulnérabilités. Ce n'est qu'en élevant collectivement le niveau de sécurité que nous pourrons construire une infrastructure financière décentralisée plus résiliente.