Das Kryptoprojekt Yearn Finance hat einen Sicherheitsvorfall mit einem benutzerdefinierten yETH Stableswap-Pool bestätigt, der zu Verlusten in Höhe von etwa 9 Millionen US-Dollar führte.
Yearn Finance von $9M DeFi-Ausnutzung betroffen, $2,39M pxETH wiedererlangt
GESCHRIEBEN VON
TEILEN
Auswirkungsbewertung und Eindämmung
Yearn Finance, der dezentrale Finanz (DeFi) Renditeaggregator, hat einen Sicherheitsvorfall mit einem benutzerdefinierten yETH Stableswap-Pool bestätigt, der zu Verlusten in Höhe von etwa 9 Millionen US-Dollar führte. Der Angriff, der am 30. November um 16:11 Uhr EST stattfand, beinhaltete das unautorisierte Prägen einer großen Menge yETH. Entscheidend ist, dass Yearn erklärte, dass der betroffene Vertrag eine benutzerdefinierte Version des beliebten Stableswap-Codes ist und in keinerlei Zusammenhang mit anderen Yearn-Produkten steht.
In einem Update, das auf X geteilt wurde, bestätigte das Protokoll, dass die Haupt-Yearn V2- und V3-Tresore von dieser spezifischen Schwachstelle nicht betroffen sind. Eine erste Analyse deutete darauf hin, dass der Angriff hauptsächlich zwei Bereiche betraf: den yETH Stableswap-Pool, mit einem direkten Schaden von etwa 8 Millionen US-Dollar, und den yETH-WETH Stableswap-Pool auf Curve, wo ungefähr 0,9 Millionen US-Dollar abgezweigt wurden.
Yearn erklärte, dass es schnell gehandelt habe, um einen gemeinsamen “Kriegsraum” mit Sicherheitspartnern, darunter das White-Hat-Hacker-Kollektiv SEAL911 und der yETH-Audit-Partner ChainSecurity, zu bilden, um eine vollständige Nachuntersuchung durchzuführen.
Laut dem Yearn-Team deuten vorläufige Anzeichen darauf hin, dass dies ein hochkomplexer Angriff ist.
“Erste Analysen deuteten darauf hin, dass dieser Hack eine ähnlich hohe Komplexitätsstufe wie der kürzliche Balancer-Hack hat, also haben Sie bitte Geduld mit uns, während wir die Nachuntersuchung durchführen. Kein anderes Yearn-Produkt verwendet ähnlichen Code wie der, der betroffen war”, versicherte das Team, um die Nutzer seiner Haupttresore zu beruhigen.
Lesen Sie mehr: Balancer-Einbruch im Zusammenhang mit Batch-Swap-Rundungsfehler; Untersuchung läuft
Das Team betonte auch sein Engagement, Sicherheit ernst zu nehmen, und versprach, alle aus dem Vorfall gewonnenen Lehren in seine zukünftige Protokollentwicklung zu integrieren. Das Team wies alle von dem Vorfall betroffenen Nutzer an, ein Support-Ticket auf ihrem Discord-Kanal zur Unterstützung zu eröffnen.
Inzwischen behauptete Yearn in einem späteren Update, 857,49 pxETH (Dinero Staked ETH) im Wert von 2,39 Millionen US-Dollar zurückerhalten zu haben. Die Wiederherstellung wurde mit Unterstützung der Plume- und Dinero-Teams erreicht, die mit dem institutionellen Liquid-Staking-Token assoziiert sind, das im betroffenen Pool verwendet wurde.
FAQ 💡
- Was ist bei Yearn Finance passiert? Ein Angriff auf einen benutzerdefinierten yETH Stableswap-Pool verursachte am 30. November Verluste in Höhe von etwa 9 Millionen US-Dollar.
- Sind die Haupttresore von Yearn betroffen? Yearn bestätigte, dass die V2- und V3-Tresore sicher und nicht mit dem betroffenen Vertrag in Zusammenhang stehen.
- Welche Pools wurden angegriffen? Der Angriff traf den yETH Stableswap-Pool (~8 Millionen USD) und den yETH-WETH-Pool auf Curve (~0,9 Millionen USD).
- Wie reagiert Yearn? Ein gemeinsamer Kriegsraum mit SEAL911 und ChainSecurity untersucht diesen hochkomplexen Hack.
