Yearn Finance зазнав атаки безмежної емісії монет, втративши 9 мільйонів доларів, методи схожі на подію з Balancer?

Децентралізація прибутковий протокол Yearn Finance знову зазнав значної кіберінциденту. Його Yearn Ether (yETH) пул ліквідності сьогодні став об'єктом атаки на контракт, хакери використали вразливість у кастомізованому стабільному обміні контракту, успішно провівши операцію «безмежного карбування» та висмоктавши весь пул, що в результаті призвело до збитків приблизно в 9 мільйонів доларів. Yearn підкреслює, що цей інцидент стосується лише одного індивідуального контракту, інші продукти Vault не постраждали.

Як відбуваються атаки? Yearn зазнав атаки безмежного карбування, втративши 9 мільйонів доларів.

Онлайн-наглядач Togbe зазначив, що спочатку він помітив, що адреси, пов'язані з yETH, послідовно демонструють велику кількість підозрілих операцій, включаючи тимчасове розгортання контрактів, дивні обміни та значну взаємодію з Tornado Cash. Пізніше було уточнено, що суть атаки полягає в кастомізованому стабільному обміні (stableswap), який використовує yETH.

Він зазначив, що yETH сам по собі є індексним активом, розробленим Yearn для інтеграції кількох LST, а зловмисник виявив у логіці контракту вразливість, що дозволило йому випустити майже безмежну кількість yETH. Ці токени потім були обміняні на реальні активи в пулі, включаючи ETH та інші LST, внаслідок чого весь пул був спустошений за одну транзакцію.

Контракт був випущений в астрономічній кількості yETH

Згідно з інформацією, ця атака складалася з кількох тимчасово розгорнутих смарт-контрактів. Частина контрактів після завершення атаки відразу самознищувалася, що свідчить про те, що шлях атаки був ретельно продуманий і ускладнює можливість розслідування. Спочатку зовні було видно лише близько 1,000 ETH ( близько 3 мільйонів доларів ), які були переведені в Tornado Cash, але насправді загальні втрати в цій події набагато більші.

Чи вплив розширюється? Yearn підкреслює, що V2, V3 та інші продукти є безпечними.

Офіційний Yearn також негайно оприлюднив заяву, що основний пул зазнав збитків приблизно на 8 мільйонів доларів, а ще близько 900 тисяч доларів отримано з пулу yETH-WETH на Curve, загальні збитки становлять приблизно 9 мільйонів доларів.

Команда також одразу заспокоїла користувачів, підкресливши, що цей інцидент стосується лише кастомізованого стабільного (stableswap) контракту, що використовується yETH, і не пов'язаний з основним дизайном Vault, розгорнутим Yearn. Іншими словами, Vaults V2 та V3 не постраждали, а пов'язані продукти, такі як yCRV, Katana, Morpho, продовжують працювати в нормальному режимі.

На щастя, yETH не використовувався в якості застави на основних ринках кредитування, тому не викликав ланцюгових ліквідацій або системного тиску, що дозволило контролювати вплив в відносно обмежених межах.

Команда з кібербезпеки Shield повідомила, що, окрім частини коштів, які вже були відмиті через Tornado Cash, адреса зловмисника наразі все ще має близько 6 мільйонів доларів, які не були переміщені, і, можливо, вони все ще спостерігають за розвитком розслідування.

Метод схожий на атаку Balancer, подальше розслідування все ще триває.

Команда Yearn заявила, що складність цієї атаки досить висока і навіть має деякі схожі риси з нещодавнім інцидентом з Balancer, включаючи багаторівневу взаємодію контрактів, торгову логіку та глибоке розуміння цінової моделі кривої. Офіційні особи проводять всебічне розслідування разом з кількома партнерами з аудиту ChainSecurity, щоб якомога швидше оприлюднити подальший повний звіт.

(Balancer ланцюгова реакція? Stream Finance вибух 9300 мільйонів доларів збитків, xUSD втратила прив'язку і розпалася)

Ця стаття про те, як Yearn Finance зазнав атаки з безмежної емісії монет, що призвела до збитків у 9 мільйонів доларів, методи якої подібні до події з Balancer? Вперше з'явилася в новинах блокчейну ABMedia.