Yearn Finance getroffen door $9M DeFi-exploit, herstelt $2.39M pxETH

Effectbeoordeling en Beheersing

Yearn Finance, de gedecentraliseerde financiën (DeFi) opbrengstagregator, heeft een beveiligingsincident bevestigd met een aangepaste yETH stableswap pool, wat resulteerde in ongeveer $9 miljoen aan totale verliezen. De exploit, die plaatsvond om 16:11 EST op 30 nov., omvatte het ongeautoriseerd minten van een grote hoeveelheid yETH. Cruciaal is dat Yearn aangaf dat het getroffen contract een aangepaste versie is van populaire stableswap code en volledig losstaat van andere Yearn-producten.

In een update gedeeld op X, bevestigde het protocol dat de belangrijkste Yearn V2 en V3 kluizen niet zijn beïnvloed door deze specifieke kwetsbaarheid. Een eerste analyse wees uit dat de aanval zich voornamelijk richtte op twee gebieden: de yETH Stableswap Pool, met een directe impact van ongeveer $8 miljoen, en de yETH-WETH Stableswap Pool op Curve, waar ongeveer $0,9 miljoen werd weggeleid.

Yearn zei snel te hebben gehandeld om een gezamenlijke “war room” te vormen met beveiligingspartners, waaronder het white-hat hackcollectief SEAL911 en de yETH audit partner, ChainSecurity, om een volledig post-mortem onderzoek uit te voeren.

Volgens het Yearn-team wijzen voorlopige aanwijzingen erop dat dit een zeer geavanceerde aanval betreft.

“Een eerste analyse gaf aan dat deze hack een vergelijkbaar hoog complexiteitsniveau heeft als de recente Balancer hack, dus graag jullie begrip terwijl we de post-mortem analyse uitvoeren. Er is geen ander Yearn-product dat vergelijkbare code gebruikt met wat is getroffen,” bevestigde het team, de gebruikers van zijn kernkluizen geruststellend.

Lees meer: Balancer Breach Verbonden met Batch Swap Rounding Bug; Onderzoek Lopend

Het team benadrukte ook haar toewijding aan het serieus nemen van beveiliging en beloofde alle lessen uit het incident te integreren in de toekomstige protocolontwikkeling. Het team verzocht alle gebruikers die door het evenement zijn getroffen om een ondersteuningskaartje te openen op hun Discord-kanaal voor assistentie.

Ondertussen beweerde Yearn in een latere update dat ze 857,49 pxETH (Dinero Staked ETH) ter waarde van $2,39 miljoen hebben terugveroverd. De terugvordering werd bereikt met de hulp van de Plume en Dinero-teams, die geassocieerd zijn met de institutionele liquid staking token die in de getroffen pool werd gebruikt.

FAQ 💡

• Wat is er gebeurd met Yearn Finance? Een aangepaste yETH stableswap pool exploit veroorzaakte op 30 november ongeveer $9 miljoen aan verliezen.
• Zijn de hoofdkelders van Yearn aangetast? Yearn bevestigde dat V2 en V3 kluizen veilig zijn en niets te maken hebben met het getroffen contract.
• Welke pools werden aangevallen? De aanval trof de yETH Stableswap Pool (~$8M) en de yETH-WETH Pool op Curve (~$0.9M).
• Hoe reageert Yearn? Een gezamenlijke war room met SEAL911 en ChainSecurity onderzoekt deze zeer complexe hack.