Yearn Finance pogođen DeFi eksploatom od 9 milijuna dolara, povratio 2,39 milijuna dolara pxETH.

Procjena utjecaja i suzbijanje

Yearn Finance, decentralizirani financijski (DeFi) agregator prinosa, potvrdio je sigurnosni incident koji je uključivao prilagođeni yETH stableswap pool i rezultirao ukupnim gubicima od približno 9 milijuna dolara. Eksploatacija, koja se dogodila u 16:11 EST 30. studenoga, uključivala je neovlašteno mintanje velike količine yETH. Ključna je činjenica da Yearn navodi kako je pogođeni ugovor prilagođena verzija popularnog stableswap koda i potpuno nevezana za druge Yearn proizvode.

U ažuriranju podijeljenom na X-u, protokol je potvrdio da glavni Yearn V2 i V3 trezori nisu pogođeni ovom specifičnom ranjivošću. Početna analiza ukazala je na to da su napadom primarno ciljana dva područja: yETH Stableswap Pool, s direktnim utjecajem od oko 8 milijuna dolara, te yETH-WETH Stableswap Pool na Curveu, gdje je oko 0,9 milijuna dolara prebačeno.

Yearn je rekao kako je brzo reagirao formiranjem zajedničkog “ratnog stožera” sa sigurnosnim partnerima, uključujući kolektiv etičkih hakera SEAL911 i yETH revizijskog partnera, ChainSecurity, kako bi proveo potpunu post-mortem istragu.

Prema timu iz Yearna, preliminarni pokazatelji upućuju na to da je ovo bio izuzetno sofisticiran napad.

“Početna analiza naznačuje da ovaj hak ima slično visoku razinu složenosti kao nedavni Balancer hak, stoga vas molimo za strpljenje dok provodimo post-mortem analizu. Ne postoji nijedan drugi Yearn proizvod koji koristi sličan kod onome koji je pogođen,” potvrdio je tim, nastojeći uvjeriti korisnike svojih glavnih trezora.

Pročitajte više: Balancer hak povezan s greškom zaokruživanja u batch swapu; Istraga u tijeku

Tim je također naglasio svoju posvećenost ozbiljnom pristupu sigurnosti i obećao integrirati sva naučena iskustva iz incidenta u budući razvoj protokola. Tim je uputio sve korisnike pogođene događajem da otvore ulaznicu za podršku na svom Discord kanalu za pomoć.

U međuvremenu, u kasnijem ažuriranju, Yearn je izjavio da je povratio 857,49 pxETH (Dinero Staked ETH) čija je vrijednost 2,39 milijuna dolara. Povrat je postignut uz pomoć Plume i Dinero timova, koji su povezani s institucionalnom tokenom za likvidno staking korištenom u pogođenom poolu.

FAQ 💡

• Što se dogodilo s Yearn Financeom? Eksploatacija u prilagođenom yETH stableswap poolu uzrokovala je gubitke od oko 9 milijuna dolara 30. studenoga.
• Jesu li glavni trezori Yearna pogođeni? Yearn je potvrdio da su V2 i V3 trezori sigurni i nevezani za pogođeni ugovor.
• Koji su poolovi bili ciljani? Napad je pogodio yETH Stableswap Pool (~8M $) i yETH-WETH Pool na Curveu (~0.9M $).
• Kako Yearn reagira? Zajednički ratni stožer sa SEAL911 i ChainSecurity istražuje ovaj visokosloženi hak.