Yearn Finance foi atacado novamente, o pool yETH perdeu 3 milhões de dólares em ETH que foram transferidos para o Tornado Cash

O conhecido protocolo de rendimento DeFi Yearn Finance sofreu um ataque no seu pool de Token de aposta líquida yETH, onde o atacante esvaziou o fundo ao gerar yETH infinitamente, lucrando cerca de 3 milhões de dólares em ETH e transferindo para o misturador Tornado Cash. Este incidente resultou em pesadas perdas para o pool yETH, que valia cerca de 11 milhões de dólares antes do ataque. A equipe oficial do Yearn confirmou que está investigando a situação e enfatizou que os Yearn Vaults não foram afetados, sendo esta a segunda crise de segurança do Yearn após o incidente de vulnerabilidade yDAI em 2021.

Análise Completa do Evento de Ataque

Os dados da blockchain mostram que, em 14 de dezembro, o pool de tokens de aposta líquida yETH da Yearn Finance sofreu um ataque cuidadosamente planejado, onde os atacantes exploraram uma vulnerabilidade do contrato para emitir quase uma quantidade ilimitada de yETH, esvaziando todo o pool de fundos em uma única transação. O yETH, como um token indexado que agrega vários tokens de aposta líquida populares, foi projetado para fornecer aos usuários uma solução de rendimento de staking de Ethereum tudo-em-um, e essa vulnerabilidade ameaça diretamente o mecanismo central deste produto.

Durante o ataque, o atacante implementou vários contratos inteligentes novos para executar o fluxo de ataque, com alguns contratos se destruindo imediatamente após a conclusão das transações. Essa técnica visa claramente encobrir as evidências do ataque e aumentar a dificuldade de rastreamento. No final, o atacante conseguiu transferir 1000 ETH (cerca de 3 milhões de dólares à época) para o protocolo de mistura Tornado Cash, uma ação que cortou ainda mais a rastreabilidade do fluxo de fundos.

O ataque foi inicialmente descoberto pelo utilizador Togbe da plataforma X, que notou atividades anormais ao monitorizar grandes transferências. Togbe revelou à mídia: “Os dados de transferência líquida indicam que a funcionalidade de superemissão de yETH permitiu que os atacantes esvaziassem o fundo, lucrando cerca de 1000 moedas ETH. Embora parte do ETH tenha sido sacrificada durante o ataque, os atacantes ainda conseguiram obter lucro.” Esta descoberta alertou a comunidade para prestar atenção a este incidente de segurança.

ataque a pontos-chave de tempo

• Exploração de vulnerabilidade: o atacante usa a função de cunhagem super autorizada para emitir yETH ilimitadamente.
• Retirada de fundos: uma única transação esvaziou o pool de yETH, no valor de aproximadamente 11 milhões de dólares.
• Transferência de fundos: 1000 moedas ETH (cerca de 3 milhões de dólares) transferidas para o Tornado Cash
• Ocultação de vestígios: alguns contratos de ataque se autodestroem, aumentando a dificuldade de investigação.

Análise Profunda do Mecanismo de Vulnerabilidades Técnicas

Do ponto de vista técnico, a vulnerabilidade central deste ataque reside na falha de controle de permissões de cunhagem do contrato yETH. O atacante parece ter encontrado uma maneira de contornar as restrições normais de cunhagem, ativando a chamada função de “super cunhagem”, que deveria ser ativada sob condições rigorosas, mas foi acidentalmente acessada por uma parte não autorizada. O índice de tokens de aposta líquida em si envolve um design complexo de economia de tokens, e qualquer falha de permissão pode levar a consequências catastróficas.

O novo contrato implantado pelos atacantes, que utiliza um modo de autodestruição, demonstra características típicas de operações de hackers profissionais. Ao empregar contratos de uso único, os atacantes não apenas ocultaram efetivamente a lógica do ataque, mas também aumentaram significativamente a dificuldade de coleta de provas posteriores. Especialistas em segurança de blockchain apontam que essa técnica requer que os atacantes tenham um entendimento profundo da arquitetura dos contratos da Yearn, podendo ser resultado de uma possível divulgação interna de código ou de pesquisas prolongadas.

É importante notar que o yETH, como agregador de vários Tokens de aposta líquida, a sua estabilidade de preço depende do correto ancoramento dos ativos subjacentes. Quando um atacante emite yETH sem limites, os ativos no fundo são amplamente trocados por outros Tokens de alta liquidez, que eventualmente são convertidos em ETH e retirados. Este caminho de ataque expõe o risco de falha única no design de Tokens indexados, ou seja, se a função central de cunhagem for comprometida, todo o modelo econômico colapsará rapidamente.

História de Segurança e Resposta a Emergências do Yearn

A Yearn Finance emitiu rapidamente um comunicado oficial através da plataforma X após o incidente: “Estamos investigando o evento relacionado ao pool de troca estável yETH LST, os Yearn Vaults (incluindo as versões V2 e V3) não foram afetados.” Essa resposta rápida ajuda a estabilizar o sentimento da comunidade, mas não pode recuperar imediatamente as perdas financeiras. A equipe está atualmente realizando uma revisão completa do código do contrato, avaliando a causa raiz da vulnerabilidade.

Ao rever a história de segurança da Yearn, não é a primeira vez que este protocolo enfrenta uma vulnerabilidade significativa. Em 2021, o cofre yDAI da Yearn foi atacado, resultando em perdas no valor de 11 milhões de dólares, com o atacante a lucrar 2,8 milhões de dólares. E em dezembro de 2023, a Yearn sofreu uma perda de 63% em uma posição do tesouro devido a um erro de script, felizmente sem impactar os fundos dos usuários na altura. Estes eventos de segurança consecutivos levantaram dúvidas sobre a qualidade do código da Yearn.

Mais digno de atenção é que o fundador da Yearn, Andre Cronje, deixou a equipe dois anos após o lançamento do projeto, e sua ausência se tornou o foco de discussão da comunidade sobre se isso afetou o roteiro de desenvolvimento seguro do protocolo. Embora a equipe de desenvolvimento da Yearn tenha continuado a manter o protocolo ativamente, a saída do fundador teve, sem dúvida, um impacto profundo na direção do desenvolvimento técnico do projeto. Atualmente, a equipe da Yearn ainda não divulgou um plano específico de compensação ou um cronograma de correção de vulnerabilidades.

Finanças Descentralizadas segurança ecológica e recomendações de proteção ao usuário

O ataque yETH destacou mais uma vez os desafios de segurança enfrentados no campo das Finanças Descentralizadas. De acordo com estatísticas de instituições de segurança de blockchain, as perdas no campo das Finanças Descentralizadas devido a vulnerabilidades e ataques ultrapassaram 400 milhões de dólares no primeiro semestre de 2024, sendo que falhas na lógica dos contratos e controle de permissões inadequado são os principais vetores de ataque. Os derivados de aposta líquida, como um setor emergente, têm uma estrutura de produto complexa que os torna mais suscetíveis a ataques de hackers.

Para os utilizadores comuns de Finanças Descentralizadas, este evento oferece importantes lições sobre a prevenção de riscos. Ao participar em produtos como tokens de índice ou agregadores, é essencial compreender a situação de auditoria de segurança do projeto, especialmente no que diz respeito às permissões das funcionalidades de emissão e resgate. Além disso, a diversificação de investimentos continua a ser uma estratégia eficaz para reduzir o risco associado a um único protocolo, evitando a exposição excessiva a um protocolo ou produto específico.

Do ponto de vista da indústria, este ataque pode acelerar o desenvolvimento de produtos de seguro DeFi. Protocolos de seguro como o Nexus Mutual já começaram a oferecer cobertura para vários produtos DeFi, enquanto soluções de custódia de nível institucional também estão explorando serviços de seguro contra falhas de contratos inteligentes. Com o quadro regulatório tornando-se gradualmente mais claro, espera-se que os padrões de segurança dos projetos DeFi passem de auditorias voluntárias para certificação obrigatória, proporcionando uma proteção mais abrangente aos usuários.

O alerta do setor de Finanças Descentralizadas

O incidente de ataque ao pool yETH da Yearn Finance não apenas expôs a vulnerabilidade de produtos DeFi complexos no nível de segurança do código, mas também suscitou uma profunda reflexão sobre a sustentabilidade dos derivados de aposta líquida. Quando o Ethereum concluir a transição para a prova de participação, o setor de aposta líquida se tornará um campo de teste onde inovação e risco coexistem, e esta perda de 3 milhões de dólares lembra novamente a indústria: na busca pela otimização de rendimento, a segurança da infraestrutura básica não deve ser negligenciada.

À medida que a investigação prossegue, a equipe da Yearn enfrenta não apenas desafios técnicos de correção, mas também uma tarefa a longo prazo de reconstrução da confiança da comunidade. Para todo o ecossistema de Finanças Descentralizadas, este evento pode se tornar uma importante oportunidade para impulsionar a padronização dos processos de auditoria de segurança e a melhoria dos programas de recompensas por vulnerabilidades; somente através de esforços coletivos para elevar o nível de segurança é que podemos construir uma infraestrutura financeira descentralizada mais resiliente.