Yearn Finance знову під ударом, yETH пул втратив 3 мільйони доларів США, ETH було переведено до Tornado Cash.

Децентралізовані фінанси відомий дохідний протокол Yearn Finance зазнав нападу на пул ліквідного стейкінгу yETH, зловмисник через безмежне випуск yETH вивів кошти з пулу, отримавши прибуток приблизно 3 мільйони доларів ETH і перевівши їх в змішувач Tornado Cash. Ця подія призвела до серйозних втрат yETH пулу, який до нападу мав вартість приблизно 11 мільйонів доларів. Офіційно Yearn підтвердив, що розслідує цю справу і підкреслив, що Yearn Vaults не постраждали, це вже друга безпекова криза Yearn після вразливості yDAI у 2021 році.

Аналіз повної картини атаки

Дані блокчейн показують, що 14 грудня пул ліквідного стейкінгу токенів yETH Yearn Finance зазнав ретельно спланованої атаки, зловмисник, використавши вразливість контракту, здійснив майже безкінечне збільшення випуску yETH та вивів весь пул коштів в одній транзакції. yETH, як індексний токен, що агрегує кілька популярних токенів ліквідного стейкінгу, був розроблений для надання користувачам комплексного рішення для отримання прибутку від стейкінгу Ethereum, а ця вразливість безпосередньо загрожує основному механізму цього продукту.

Під час атаки зловмисник розгорнув кілька абсолютно нових смарт-контрактів для виконання процесу атаки, частина контрактів миттєво знищувалася після завершення транзакції. Така операція явно мала на меті приховати сліди атаки і ускладнити відстеження. Врешті-решт, зловмисник успішно перевів 1000 монет ETH (за тодішніми цінами приблизно 3 мільйони доларів США) у протокол змішування Tornado Cash, що ще більше перервало можливість відстеження потоку коштів.

Цю атаку спочатку виявив користувач платформи X Togbe, який звернув увагу на аномальну активність під час моніторингу великих переказів. Togbe розповів ЗМІ: “Дані про чисті перекази свідчать про те, що функція суперкарбування yETH дозволила зловмисникам вивести кошти з пулу, отримавши прибуток приблизно 1000 монет ETH. Незважаючи на те, що під час атаки було втрачено частину ETH, зловмисники все ж змогли отримати прибуток.” Це відкриття своєчасно попередило спільноту про цю безпекову подію.

Атака на ключові часові вузли

• Використання вразливості: зловмисник без дозволу використовує функцію суперемісії для безмежного випуску yETH
• Виведення коштів: одноразова транзакція виводить yETH пул, вартість приблизно 11 мільйонів доларів
• Переміщення коштів: 1000 монет ETH (близько 3 мільйонів доларів) переведено до Tornado Cash
• Приховування слідів: частина атакуючих контрактів самознищується, ускладнюючи розслідування

Глибокий аналіз механізму технічних вразливостей

З технічної точки зору, основна вразливість цього нападу полягає в дефекті контролю прав на випуск монет в контракті yETH. Здається, що зловмисник знайшов спосіб обійти звичайні обмеження на випуск, активувавши так звану функцію “супервипуску”, механізм якої повинен був бути активований лише за суворих умов, але випадково став доступним для несанкціонованих осіб. Ліквідний стейкінг токенів індексу сам по собі містить складний дизайн токеноміки, будь-яка вразливість прав може призвести до катастрофічних наслідків.

Атакуюча сторона використовувала новий розгорнутий контракт з режимом самознищення, що демонструє типові характеристики професійних хакерських операцій. Використовуючи одноразові контракти, атакуючий не тільки ефективно приховав логіку атаки, але й значно ускладнив процес збору доказів після інциденту. Експерти з безпеки блокчейнів вказують, що така методика вимагає від атакуючого глибокого розуміння архітектури контрактів Yearn, що може бути наслідком витоку внутрішнього коду або тривалої прихованої розвідки.

Варто зазначити, що yETH як агрегатор різних токенів ліквідного стейкінгу, стабільність його ціни залежить від правильного анкерування базових активів. Коли зловмисник безмежно випускає yETH, активи в пулі масово обмінюються на інші токени з високою ліквідністю, які врешті-решт конвертуються в ETH для виведення. Цей шлях атаки виявляє ризик єдиної точки відмови в дизайні індексних токенів, тобто, якщо основна функція карбування буде зламано, вся економічна модель швидко зруйнується.

Історія безпеки Yearn та реагування на надзвичайні ситуації

Yearn Finance швидко опублікував офіційну заяву через платформу X після події: “Ми розслідуємо подію, пов'язану з обмінним пулом стабільності yETH LST, Vaults Yearn (включаючи версії V2 та V3) не постраждали.” Така швидка реакція допомагає стабілізувати емоції в спільноті, але не може відразу компенсувати втрати коштів. Команда наразі проводить повну перевірку коду контракту, оцінюючи основні причини уразливостей.

Оглядаючи історію безпеки Yearn, це не перший раз, коли цей протокол стикається з серйозними вразливостями. У 2021 році, yDAI-скарбниця Yearn була атакована, що призвело до втрати вартості в 11 мільйонів доларів, а зловмисник зрештою отримав прибуток у 2,8 мільйона доларів. А в грудні 2023 року, Yearn зазнала збитків у 63% через помилку в скрипті в одному з позицій у скарбниці, на щастя, в той час кошти користувачів не постраждали. Ці послідовні події безпеки викликали питання щодо якості коду Yearn.

Більш важливим є те, що засновник Yearn Андре Кроньє залишив команду через два роки після запуску проєкту, і його відсутність стала об'єктом обговорення в спільноті, чи вплине це на безпечну дорожню карту розробки протоколу. Незважаючи на те, що наступна команда розробників Yearn активно підтримує протокол, відхід засновника, безумовно, має глибокий вплив на технічний розвиток проєкту. На даний момент команда Yearn ще не оголосила конкретні плани компенсації чи графік виправлення вразливостей.

Безпека екосистеми Децентралізованих фінансів та рекомендації щодо захисту користувачів

Цей інцидент з атакою на yETH знову підкреслює виклики безпеки, з якими стикається сфера Децентралізованих фінансів. Згідно з даними статистики блокчейн-безпеки, втрати в сфері Децентралізованих фінансів через вразливості та атаки в першій половині 2024 року вже перевищили 400 мільйонів доларів, зокрема логічні дефекти контракту та неналежний контроль доступу є основними векторами атак. Ліквідний стейкінг деривативи як новий ринок, з його складною продуктовою структурою, легше стають цілями для хакерів.

Для звичайних користувачів Децентралізованих фінансів ця подія надає важливі підказки для контролю ризиків. Участь у подібних індексних токенах або продуктах агрегаторів вимагає ретельного розуміння безпеки проекту, особливо уваги до налаштувань прав на основні функції випуску та викупу монет. Водночас, диверсифікація інвестицій залишається ефективною стратегією зниження ризиків окремого протоколу, щоб уникнути надмірного впливу на певний конкретний протокол чи продукт.

З точки зору галузі, ця атака може прискорити розвиток страхових продуктів Децентралізованих фінансів. Такі страхові протоколи, як Nexus Mutual, вже почали надавати покриття для різних продуктів DeFi, тоді як рішення з управління активами на рівні установ також досліджують послуги страхування від вразливостей смарт-контрактів. З поступовим проясненням регуляторної структури, стандарти безпеки проектів DeFi, ймовірно, перейдуть від добровільного аудиту до обов'язкової сертифікації, забезпечуючи користувачам більш всебічний захист.

Децентралізовані фінанси індустрії дзвоник тривоги звучить

Подія атаки на пул Yearn Finance yETH не лише виявила вразливість складних продуктів DeFi на рівні безпеки коду, але й викликала глибокі роздуми про стійкість похідних продуктів ліквідного стейкінгу. Коли Ethereum завершить перехід до механізму підтвердження частки, ринок ліквідного стейкінгу стане експериментальним полем, де інновації та ризики існують разом, а втрата в 3 мільйони доларів знову нагадує індустрії: в гонитві за оптимізацією прибутків не можна ігнорувати базову архітектуру безпеки.

У міру проведення розслідування команда Yearn стикається не лише з викликами технічних виправлень, але й з довгостроковим завданням відновлення довіри спільноти. Для всієї екосистеми DeFi ця подія може стати важливою можливістю для просування стандартизованих процесів безпеки аудиту та вдосконалення програм винагород за вразливості. Лише через колективні зусилля можна підвищити рівень безпеки та побудувати більш стійку децентралізовану фінансову інфраструктуру.