Yearn Finance sai $9M DeFi rünnaku osaliseks, taastati $2.39M pxETH

Mõju hindamine ja kahjude piiramise meetmed

Yearn Finance, detsentraliseeritud finantsturu (DeFi) tootluse agregeerija, on kinnitanud turvaintsidenti, mis hõlmas kohandatud yETH stableswap-basseini ja mille tagajärjeks olid ligikaudu 9 miljoni dollari suurused kogukahjud. Ekspluateerimine, mis toimus 30. novembril kell 16:11 EST, hõlmas lubamatut suures koguses yETH vermimist. Oluline on märkida, et Yearn kinnitas, et mõjutatud leping on populaarse stableswap-koodi kohandatud versioon ja see ei ole seotud teiste Yearn toodetega.

X-is jagatud uuenduses kinnitas protokoll, et Yearn V2 ja V3 peahoidlad ei ole selle konkreetse haavatavusega mõjutatud. Esialgne analüüs näitas, et rünnak oli suunatud peamiselt kahele alale: yETH Stableswap-bassein, mille otsene mõju oli umbes 8 miljonit dollarit, ja Curve’i yETH-WETH Stableswap-bassein, kus umbes 0,9 miljonit dollarit sifooniti.

Yearn teatas, et moodustas kiiresti ühise “sõjatoad” koos turvapartnertitega, sealhulgas valgehatt häkkerite kollektiiv SEAL911 ja yETH auditi partner, ChainSecurity, et viia läbi täielik post mortem analüüs.

Yearni meeskonna sõnul viitavad esialgsed märgid sellele, et tegu on väga keeruka rünnakuga.

“Esialgne analüüs näitas, et selle rünnaku keerukus on sarnane hiljutise Balanceri rünnakuga, nii et palun olge kannatlikud, kui me teostame post mortem analüüsi. Ükski teine Yearni toode ei kasuta sarnast koodi, mida ei mõjutatud,” kinnitas meeskond, püüdes kasutajaid oma põhihoidlate osas rahustada.

Loe lähemalt: Balanceri rikkumine seotud partii vahetamise ümardamise veaga; Uurimine jätkub

Meeskond rõhutas ka oma pühendumust võtta turvaaspekte tõsiselt ja lubas kõik õppetunnid juhtumist oma tulevases protokolli arendamisesse integreerida. Meeskond suunas kõik sündmusest mõjutatud kasutajad avama toe pileti oma Discordi kanalis abi saamiseks.

Vahepeal teatas Yearn hilisemas uuenduses, et on taastanud 857.49 pxETH (Dinero Staked ETH), mille väärtus on 2,39 miljonit dollarit. Taastamine saavutati koostöös Plume ja Dinero meeskondadega, kes on seotud institutsionaalsete liquid staking token’itega, mida kasutati mõjutatud basseinis.

KKK 💡

• Mis juhtus Yearn Finance’iga? Kohandatud yETH stableswap-basseini ekspluateerimine põhjustas 30. novembril ligikaudu 9 miljoni dollari suuruse kahju.
• Kas Yearn’i põhihoidlaid mõjutati? Yearn kinnitas, et V2 ja V3 hoidlad on ohutud ja ei ole seotud mõjutatud lepinguga.
• Milliseid basseine sihiti? Rünnak tabas yETH Stableswap-basseini (~$8M) ja yETH-WETH-basseini Curve’il (~$0,9M).
• Kuidas Yearn sellele reageerib? Ühine sõjatuba SEAL911 ja ChainSecurityga uurib seda väga keerukat häkki.