Yearn Finance подвергся атаке на $9M в сфере DeFi, восстановлено $2.39M pxETH

Оценка воздействия и изоляция

Yearn Finance, децентрализованный финансовый (DeFi) агрегатор доходности, подтвердил инцидент безопасности, связанный с индивидуальным пулом yETH stableswap, который привел к убыткам в размере примерно $9 миллионов. Эксплойт, который произошел в 16:11 по восточному времени 30 ноября, включал несанкционированную эмиссию большого количества yETH. Крайне важно, что Yearn заявил, что пострадавший контракт является индивидуальной версией популярного кода stableswap и не имеет никакого отношения к другим продуктам Yearn.

В обновлении, опубликованном на X, протокол подтвердил, что основные сейфы Yearn V2 и V3 не затронуты этой конкретной уязвимостью. Первичный анализ показал, что атака была направлена главным образом на две области: пул yETH Stableswap с прямым воздействием около $8 миллионов и пул yETH-WETH Stableswap на Curve, где было выведено около $0.9 миллиона.

Yearn заявил, что быстро сформировал совместную “военную комнату” с партнерами по безопасности, включая хакерскую коллектив SEAL911 и партнера по аудиту yETH, ChainSecurity, чтобы провести полное посмертное расследование.

По данным команды Yearn, первоначальные признаки указывают на то, что это была высокоразвитая атака.

“Первоначальный анализ показал, что эта взлом имеет схожий высокий уровень сложности с недавним взломом Balancer, поэтому, пожалуйста, оставайтесь с нами, пока мы проводим анализ. Нет ни одного другого продукта Yearn, использующего код, аналогичный пострадавшему”, заверила команда, стремясь успокоить пользователей своих основных сейфов.

Подробнее: Взлом Balancer связан с ошибкой округления в пакетном обмене; расследование продолжается

Команда также подчеркнула свою приверженность серьезному отношению к безопасности и пообещала интегрировать все уроки, полученные из инцидента, в свое будущее развитие протокола. Команда направила всех пользователей, пострадавших от этого события, открыть заявку в канале поддержки в Discord для получения помощи.

Тем временем, в более позднем обновлении Yearn заявила, что восстановила 857.49 pxETH (Dinero Staked ETH) на сумму $2.39 миллиона. Восстановление было достигнуто при помощи команд Plume и Dinero, которые связаны с институциональным ликвидным токеном стейкинга, использованным в пострадавшем пуле.

FAQ 💡

• Что произошло с Yearn Finance? Эксплойт в индивидуальном пуле yETH stableswap привел к убыткам около $9 миллионов 30 ноября.
• Были ли затронуты основные сейфы Yearn? Yearn подтвердил, что сейфы V2 и V3 защищены и не связаны с пострадавшим контрактом.
• Какие пулы были атакованы? Атака поразила пул yETH Stableswap (~$8M) и пул yETH-WETH на Curve (~$0.9M).
• Как Yearn реагирует на инцидент? Совместная военная комната с SEAL911 и ChainSecurity расследует этот высоко комплексный взлом.