Yearn Finance снова подвергся атаке, yETH пул потерял 3000000 долларов США, ETH был переведен в Tornado Cash

Известный доходный протокол DeFi Yearn Finance подвергся атаке, в результате которой пул ликвидного стейкинга yETH был опустошен злоумышленниками, которые путем бесконечного эмитирования yETH вывели средства из пула, получив около 3 миллионов долларов в ETH и переведя их в миксер Tornado Cash. Этот инцидент привел к значительным потерям пула yETH, который до атаки стоил около 11 миллионов долларов. Официальные представители Yearn подтвердили, что проводят расследование по этому делу и подчеркнули, что Yearn Vaults не пострадали; это уже второй случай безопасности для Yearn после инцидента с уязвимостью yDAI в 2021 году.

Полный анализ инцидента атаки

Данные блокчейна показывают, что 14 декабря пул ликвидного стейкинга токенов yETH Yearn Finance подвергся тщательно спланированной атаке, в ходе которой злоумышленники использовали уязвимость контракта для почти неограниченного выпуска yETH и в одной транзакции опустошили весь пул средств. yETH, являющийся индексным токеном, агрегирующим несколько популярных токенов ликвидного стейкинга, был изначально разработан для предоставления пользователям комплексного решения по доходности стейкинга эфира, и данная уязвимость напрямую угрожает核心 механике этого продукта.

В процессе атаки злоумышленник развернул несколько совершенно новых смарт-контрактов для выполнения атакующего процесса, некоторые контракты сразу уничтожаются после завершения транзакции, такая тактика явно направлена на сокрытие следов атаки и увеличение сложности отслеживания. В конечном итоге злоумышленник успешно перевел 1000 ETH (по тогдашнему курсу около 3 миллионов долларов) в протокол смешивания Tornado Cash, что еще больше нарушило возможности отслеживания потока средств.

Эта атака была впервые обнаружена пользователем платформы X Togbe, который заметил аномальную активность при мониторинге крупных переводов. Togbe сообщил СМИ: “Данные о чистых переводах показывают, что функция супер-эмиссии yETH позволила злоумышленникам опустошить пул ликвидности, получив прибыль около 1000 монет ETH. Несмотря на то, что в процессе атаки была потеряна часть ETH, злоумышленники все равно смогли получить прибыль.” Это открытие вовремя предупредило сообщество о данном инциденте безопасности.

Атака на ключевые временные узлы

• Эксплуатация уязвимости: злоумышленник несанкционированным образом использует функцию суперчеканки для неограниченного выпуска yETH
• Извлечение средств: однократная транзакция опустошает пул yETH на сумму около 11 миллионов долларов
• Перевод средств: 1000 монет ETH (приблизительно 3 миллиона долларов) переведены в Tornado Cash
• Замаскированные следы: часть атакующих контрактов самоуничтожается, что увеличивает сложность расследования.

Глубокий анализ механизма технических уязвимостей

С технической точки зрения, основным уязвимым местом этой атаки является недостаток контроля прав на выпуск в контракте yETH. Похоже, что злоумышленники нашли способ обойти обычные ограничения на выпуск, активировав так называемую функцию “супер-выпуска”, которая должна была включаться только при строгих условиях, но неожиданно была доступна неавторизованным лицам. Индекс ликвидных стейкинг токенов сам по себе включает в себя сложный дизайн токеномики, и любая уязвимость в правах доступа может привести к катастрофическим последствиям.

Атакующий использует новый развернутый контракт с режимом самоуничтожения, что демонстрирует типичные характеристики профессиональных хакеров. Используя одноразовые контракты, атакующий не только эффективно скрывает логику атаки, но и значительно усложняет последующее расследование. Эксперты по безопасности блокчейна указывают, что эта техника требует от атакующего глубокого понимания архитектуры контрактов Yearn, что может быть результатом утечки внутреннего кода или длительного скрытого исследования.

Стоит обратить внимание на то, что yETH, как агрегатор различных ликвидных стейкинг токенов, его стабильность цен зависит от правильной привязки к базовым активам. Когда злоумышленник безлимитно эмитирует yETH, активы в пуле массово обмениваются на другие высоколиквидные токены, которые в конечном итоге конвертируются в ETH и выводятся. Этот путь атаки выявляет риск единой точки отказа в дизайне индексного токена, то есть как только основная функция эмиссии будет скомпрометирована, вся экономическая модель быстро рухнет.

Безопасная история Yearn и реагирование на чрезвычайные ситуации

Yearn Finance быстро опубликовала официальное заявление через платформу X после происшествия: “Мы расследуем инцидент, связанный с пулом стабильного обмена yETH LST, Yearn Vaults (включая версии V2 и V3) не пострадали.” Эта быстрая реакция помогает стабилизировать настроение сообщества, но не может немедленно вернуть потерянные средства. Команда в настоящее время проводит полную проверку кода контракта, оценивая первопричину уязвимости.

Оглядываясь на историю безопасности Yearn, можно сказать, что это не первый раз, когда данный Протокол сталкивается с серьезными уязвимостями. В 2021 году хранилище yDAI Yearn было атаковано, что привело к потере стоимости в 11 миллионов долларов, а злоумышленник в итоге заработал 2,8 миллиона долларов. А в декабре 2023 года Yearn понесла убытки в 63% по одной из позиций казначейства из-за ошибки в скрипте, к счастью, в тот момент фонды пользователей не пострадали. Эти непрерывные инциденты безопасности вызвали сомнения в качестве кода Yearn.

Более важным является то, что основатель Yearn Андре Кронье покинул команду спустя два года после запуска проекта, и его отсутствие стало предметом обсуждения в сообществе относительно того, повлияло ли это на безопасность и дорожную карту разработки протокола. Несмотря на то, что последующая команда разработчиков Yearn активно поддерживает протокол, уход основателя, безусловно, оказал глубокое влияние на техническое направление проекта. В настоящее время команда Yearn еще не объявила конкретные планы по компенсации или график исправления уязвимостей.

Безопасная экосистема DeFi и рекомендации по защите пользователей

Инцидент с атакой на yETH вновь подчеркнул безопасность вызовов, стоящих перед сферой Децентрализованных финансов (DeFi). Согласно статистике блокчейн-безопасности, в первой половине 2024 года потери в области DeFi из-за уязвимостей и атак превышают 400 миллионов долларов, при этом логические ошибки контрактов и неправильный контроль доступа являются основными векторами атак. Ликвидные стейкинговые деривативы как новая ниша, благодаря своей сложной структуре продукта, становятся более легкой целью для хакеров.

Для обычных пользователей DeFi данное событие предоставляет важные подсказки по управлению рисками. При участии в подобных индексных токенах или агрегаторских продуктах следует тщательно изучить безопасность проекта, особенно обратить внимание на настройки прав доступа к основным функциям выпуска и выкупа токенов. В то же время диверсификация инвестиций по-прежнему остается эффективной стратегией снижения рисков, связанных с отдельным протоколом, избегая чрезмерного воздействия на какой-либо конкретный протокол или продукт.

С точки зрения отрасли, эта атака может ускорить развитие страховых продуктов в области Децентрализованных финансов. Страховые протоколы, такие как Nexus Mutual, уже начали предоставлять покрытие для различных DeFi продуктов, в то время как институциональные решения для хранения также исследуют услуги по страховке от уязвимостей смарт-контрактов. С постепенной ясностью регуляторной структуры стандарты безопасности проектов DeFi, вероятно, перейдут от добровольного аудита к обязательной сертификации, предоставляя пользователям более полную защиту.

Децентрализованные финансы отраслевой тревога

Атака на пул Yearn Finance yETH не только выявила уязвимости сложных DeFi продуктов на уровне безопасности кода, но и вызвала глубокие размышления о устойчивости ликвидных стейкинг деривативов. После завершения перехода Ethereum на Proof of Stake, сектор ликвидного стейкинга стал испытательным полем, где сосуществуют инновации и риски, а потеря в 3 миллиона долларов ещё раз напоминает отрасли: в стремлении к оптимизации доходов основная архитектура безопасности не должна игнорироваться.

С продолжающимся расследованием команда Yearn сталкивается не только с техническими проблемами, но и с долгосрочной задачей восстановления доверия сообщества. Для всей экосистемы DeFi это событие может стать важным моментом для содействия стандартизации процессов безопасности и улучшения программ вознаграждений за уязвимости. Только совместными усилиями можно повысить уровень безопасности и построить более устойчивую инфраструктуру децентрализованных финансов.