A Yearn Finance kripto projekt megerősítette, hogy egy biztonsági incidens történt egy egyedi yETH stableswap pool-lal, amely körülbelül 9 millió dollár összesített veszteséget eredményezett.
Yearn Finance $9 milliós DeFi kihasználás áldozata lett, $2,39 millió pxETH-t visszaszerzett.
Hatásértékelés és Elhárítás
Yearn Finance, a decentralizált pénzügyek (DeFi) hozam aggregátor, megerősítette, hogy egy biztonsági incidens történt egy egyedi yETH stableswap pool-lal, amely körülbelül 9 millió dollár összesített veszteséget eredményezett. Az exploit, amely november 30-án 16:11-kor történt EST szerint, egy nagy mennyiségű yETH jogosulatlan előállításával járt. Lényeges, hogy a Yearn kijelentette, hogy az érintett szerződés a népszerű stableswap kód egyedi változata, és teljesen független a többi Yearn terméktől.
Egy frissítésben, amelyet az X-en osztottak meg, a protokoll megerősítette, hogy a fő Yearn V2 és V3 tárolók nem érintettek ezen konkrét sebezhetőség által. Egy elsődleges elemzés azt mutatta, hogy a támadás elsősorban két területet célozott meg: a yETH Stableswap Pool-t, amely közvetlenül körülbelül 8 millió dollárt érintett, és a Curve-ön található yETH-WETH Stableswap Pool-t, ahol körülbelül 0,9 millió dollárt szivattyúztak el.
A Yearn gyorsan lépett, hogy egy közös “háborús szobát” hozzon létre a biztonsági partnerekkel, köztük a fehérkalapos hackerek kollektívájával, a SEAL911-el és a yETH audit partnerével, a ChainSecurity-vel, hogy teljes körű utólagos vizsgálatot folytassanak.
A Yearn csapata szerint az előzetes jelzések arra mutatnak, hogy ez egy rendkívül kifinomult támadás volt.
“Az első elemzés azt mutatta, hogy ez a hack hasonlóan magas összetettségi szinttel bír, mint a közelmúltbeli Balancer hack, így kérjük türelmüket, miközben elvégezzük az utólagos elemzést. Nincs más Yearn termék, amely hasonló kódot használna, mint amelyet érintettek,” erősítette meg a csapat, arra törekedve, hogy megnyugtassa a felhasználókat a fő tárolóiról.
További olvasás: Balancer Breach Tied to Batch Swap Rounding Bug; Investigation Ongoing
A csapat hangsúlyozta elkötelezettségét a biztonság komoly megtartása iránt, és ígéretet tett arra, hogy az incidensből levont valamennyi tanulságot beépítik a jövőbeni protokoll fejlesztésekbe. A csapat utasította az esemény által érintett felhasználókat, hogy nyissanak támogatási jegyet a Discord csatornáján segítségért.
Eközben egy későbbi frissítésben a Yearn azt állította, hogy 857,49 pxETH-t (Dinero Staked ETH) sikerült visszaszerezni, amely 2,39 millió dollárt ért. A visszaszerzést a Plume és Dinero csapatok segítségével érték el, akik az érintett poolban használt intézményi likvid staking tokennel állnak kapcsolatban.
GYIK 💡
- Mi történt a Yearn Finance-szel? Egy egyedi yETH stableswap pool exploit körülbelül 9 millió dolláros veszteséget okozott november 30-án.
- A Yearn fő tárolói érintettek? A Yearn megerősítette, hogy a V2 és V3 tárolók biztonságban vannak és nincsenek kapcsolatban az érintett szerződéssel.
- Mely poolokat célozták meg? A támadás a yETH Stableswap Pool-t (~8M dollár) és a Curve-on található yETH-WETH Pool-t (~0,9M dollár) érintette.
- Hogyan reagál a Yearn? Egy közös háborús szobát alakítottak ki a SEAL911-el és a ChainSecurity-vel, hogy kivizsgálják ezt a rendkívül összetett hekkertámadást.
