Yearn Finance rammet av 9 millioner dollar DeFi-utnyttelse, gjenoppretter 2.39 millioner dollar pxETH

Vurdering av påvirkning og inneslutning

Yearn Finance, en decentralisert finans (DeFi) avkastningsaggregator, har bekreftet en sikkerhetshendelse som involverer en tilpasset yETH stableswap-pool, som resulterte i omtrent 9 millioner dollar i totale tap. Eksploiteringen, som skjedde kl. 16:11 EST den 30. november, involverte uautorisert opprettelse av en stor mengde yETH. Viktig å merke seg er at Yearn opplyste at den berørte kontrakten er en tilpasset versjon av populær stableswap-kode og er helt uten forbindelse til andre Yearn-produkter.

I en oppdatering delt på X, bekreftet protokollen at de viktigste Yearn V2- og V3-hvelvene ikke er påvirket av denne spesifikke sårbarheten. En innledende analyse viste at angrepet primært rettet seg mot to områder: yETH Stableswap Pool, med en direkte påvirkning på omtrent 8 millioner dollar, og yETH-WETH Stableswap Pool på Curve, hvor omtrent 0.9 millioner dollar ble tappet.

Yearn sa at de raskt satte sammen et felles “krigsrom” med sikkerhetspartnere, inkludert det hvite-hat hackingkollektivet SEAL911 og yETH revisjonspartner, ChainSecurity, for å gjennomføre en fullstendig post-mortem undersøkelse.

Ifølge Yearn-teamet peker innledende indikasjoner på at dette er et svært sofistikert angrep.

“Innledende analyse antydet at denne hackingen har et komplisert nivå som minner om den nylige Balancer-hackingen, så vær tålmodige med oss mens vi gjennomfører post-mortem-analysen. Det finnes ingen andre Yearn-produkter som bruker liknende kode som det som ble påvirket,” bekreftet teamet, for å berolige brukerne av sine viktigste hvelv.

Les mer: Balancer-brudd knyttet til batch-swap avrundingsfeil; Etterforskning pågår

Teamet understreket også sitt engasjement for å ta sikkerhet på alvor og lovet å integrere alle lærdommer fra hendelsen i sin fremtidige protokollutvikling. Teamet ba alle brukere som ble påvirket av hendelsen om å åpne en support billett på sin Discord-kanal for assistanse.

I mellomtiden, i en senere oppdatering, hevdet Yearn å ha gjenopprettet 857.49 pxETH (Dinero Staked ETH) verdsatt til 2.39 millioner dollar. Gjenopprettingen ble oppnådd med hjelp fra Plume- og Dinero-teamene, som er tilknyttet det institusjonelle likviditetstokensatsing benyttet i den berørte poolen.

FAQ 💡

• Hva skjedde med Yearn Finance? En tilpasset yETH stableswap-pool exploit forårsaket omtrent 9 millioner dollar i tap den 30. november.
• Er Yearns hovedhvelv berørt? Yearn bekreftet at V2- og V3-hvelvene er trygge og ikke har forbindelse til den berørte kontrakten.
• Hvilke pooler ble målrettet? Angrepet rammet yETH Stableswap Pool (~8M dollar) og yETH-WETH Pool på Curve (~0.9M dollar).
• Hvordan reagerer Yearn? Et felles krigsrom med SEAL911 og ChainSecurity etterforsker dette svært komplekse hackingen.