Yearn Financeが$9MのDeFi攻撃を受け、$2.39M分のpxETHを回収

影響評価と封じ込め

Yearn Finance、分散型ファイナンス (DeFi) の収益集約者は、カスタムyETHスタブルスワッププールに関するセキュリティインシデントを確認し、約900万ドルの総損失をもたらしたと発表しました。このエクスプロイトは、11月30日16:11 ESTに発生し、大量のyETHの不正な鋳造が関与していました。特に重要なのは、Yearnが影響を受けた契約は人気のスタブルスワップコードのカスタムバージョンであり、他のYearn製品とは全く無関係であると述べたことです。

Xで共有された更新によれば、プロトコルはYearn V2およびV3のメインボールトがこの特定の脆弱性の影響を受けていないことを確認しました。最初の分析では、攻撃は主に2つの領域を標的にしていたことが示されました：yETHスタブルスワッププールでは約800万ドルの直接的な影響があり、CurveのyETH-WETHスタブルスワッププールでは約90万ドルが流出しました。

Yearnは、セキュリティパートナーであるホワイトハッカークラシスターSEAL911およびyETH監査パートナーChainSecurityと共同で「戦闘室」を形成し、完全な事後調査を行うために迅速に対処したと述べました。

Yearnチームによれば、初期の兆候はこの攻撃が非常に高度なものであることを示しています。

「初期分析により、このハッキングは最近のBalancerハッキングと同様に高い複雑性を持っていることが示されていますので、事後分析を行うまでお待ちいただければと思います。影響を受けたコードと似たコードを使用している他のYearn製品はありません」とチームは述べ、コアボールトのユーザーに安心させようとしています。

さらに読む: バッチスワップの丸めバグに結び付けられたBalancerの侵害調査が進行中

チームはまた、セキュリティを真剣に受け止めていることを強調し、今回のインシデントから得たすべての教訓を今後のプロトコル開発に統合することを約束しました。チームは、イベントで影響を受けたユーザーに対し、支援のためにディスコードチャンネルでサポートチケットをオープンするよう案内しました。

一方、後のアップデートで、Yearnは857.49 pxETH（Dinero Staked ETH）を239万ドルで回収したと主張しました。この回収は、影響を受けたプールで使用された組織的な流動性ステーキングトークンに関連するPlumeおよびDineroチームの協力を得て達成されました。

FAQ 💡

• Yearn Financeに何が起こったのですか？ カスタムyETHスタブルスワッププールのエクスプロイトにより、11月30日に約900万ドルの損失が発生しました。
• Yearnのメインボールトは影響を受けましたか？ Yearnは、V2およびV3ボールトが安全であり、影響を受けた契約とは無関係であることを確認しました。
• どのプールが標的になったのですか？ 攻撃はyETHスタブルスワッププール（約800万ドル）とCurveのyETH-WETHプール（約90万ドル）を襲いました。
• Yearnはどのように対応していますか？ SEAL911およびChainSecurityと共同で高度な複雑性のあるハッキングを調査するための戦闘室を設立しています。