Yearn Finance zasažena DeFi útokem ve výši 9 milionů $, získán zpět pxETH ve výši 2,39 milionu $

Posouzení dopadu a omezení

Yearn Finance, decentralizovaný finanční (DeFi) výnosový agregátor, potvrdil bezpečnostní incident zahrnující vlastní yETH stableswap pool, který vedl k přibližným ztrátám ve výši 9 milionů dolarů. Exploit, který se stal 30. listopadu v 16:11 EST, zahrnoval neoprávněné vytvoření velkého množství yETH. Důležité je, že Yearn uvedl, že dopadnutý kontrakt je vlastní verzí populárního stableswap kódu a není zcela související s dalšími produkty Yearn.

V aktualizaci sdílené na X, protokol potvrdil, že hlavní Yearn V2 a V3 trezory nejsou tímto konkrétním zranitelností ovlivněny. Úvodní analýza naznačila, že útok primárně cílil na dvě oblasti: yETH Stableswap Pool s přímým dopadem asi 8 milionů dolarů a yETH-WETH Stableswap Pool na Curve, kde bylo odčerpáno přibližně 0,9 milionu dolarů.

Yearn uvedl, že rychle zformoval společnou “válečnou místnost” s bezpečnostními partnery, včetně kolektivu bílých klobouků SEAL911 a auditního partnera yETH, ChainSecurity, aby provedli úplné posouzení incidentu.

Podle týmu Yearn předběžné indikace naznačují, že jde o vysoce sofistikovaný útok.

“Úvodní analýza naznačila, že tento útok má podobnou vysokou složitost jako nedávný útok na Balancer, proto prosím mějte trpělivost, zatímco provádíme post-mortem analýzu. Žádný jiný produkt Yearn nepoužívá podobný kód jako ten, který byl zasažen,” potvrdil tým, aby ujistil uživatele o bezpečnosti svých hlavních trezorů.

Čtěte více: Balancer breach spojený s chybou zaokrouhlení dávkového swapu; vyšetřování probíhá

Tým také zdůraznil svůj závazek věnovat bezpečnosti vážnost a slíbil integrovat všechny získané poučení z incidentu do budoucího vývoje protokolu. Tým doporučil všem uživatelům ovlivněným událostí, aby otevřeli tiket podpory na jeho Discord kanálu pro asistenci.

Mezitím, v pozdější aktualizaci, Yearn tvrdil, že se podařilo obnovit 857,49 pxETH (Dinero Staked ETH) v hodnotě 2,39 milionu dolarů. Obnova byla dosažena s pomocí týmů Plume a Dinero, které jsou spojeny s institucionálním tokenem kapalné stakace používaným v zasaženém poolu.

FAQ 💡

• Co se stalo s Yearn Finance? Exploit vlastního yETH stableswap poolu způsobil přibližné ztráty ve výši 9 milionů dolarů dne 30. listopadu.
• Jsou hlavní trezory Yearn ovlivněny? Yearn potvrdil, že V2 a V3 trezory jsou bezpečné a nesouvisejí s dopadnutým kontraktem.
• Které pooly byly zasaženy? Útok zasáhl yETH Stableswap Pool (~8M USD) a yETH-WETH Pool na Curve (~0,9M USD).
• Jak Yearn reaguje? Společná válečná místnost s SEAL911 a ChainSecurity vyšetřuje tento vysoce složitý hack.