Yearn Finance zasiahnutý DeFi útokom vo výške 9 miliónov dolárov, zotavil 2,39 milióna pxETH.

Hodnotenie dopadu a obmedzenie

Yearn Finance, decentralizovaný finančný (DeFi) agregátor výnosov, potvrdil bezpečnostný incident týkajúci sa vlastného yETH stableswap poolu, čo viedlo k celkovým stratám približne 9 miliónov dolárov. Exploit, ktorý sa odohral o 16:11 EST 30. novembra, zahŕňal neoprávnenú tvorbu veľkého množstva yETH. Dôležité je, že Yearn uviedol, že zasiahnutý kontrakt je vlastná verzia populárneho stableswap kódu a úplne nesúvisí s ostatnými produktmi Yearn.

V aktualizácii zdieľanej na X, protokol potvrdil, že hlavné úložiská Yearn V2 a V3 nie sú týmto konkrétnym zraniteľnosťou ovplyvnené. Počiatočná analýza naznačila, že útok sa zameral predovšetkým na dve oblasti: yETH Stableswap Pool s priamym dopadom približne 8 miliónov dolárov a yETH-WETH Stableswap Pool na Curve, kde bolo odčerpaných približne 0,9 milióna dolárov.

Yearn uviedol, že rýchlo zorganizoval spoločnú “vojnovú miestnosť” s bezpečnostnými partnermi, vrátane bielej klobúkovej hackerskej kolektívy SEAL911 a audítora yETH, ChainSecurity, aby vykonal úplnú post-mortem analýzu.

Podľa tímu Yearn predbežné indikácie naznačujú, že išlo o vysoko sofistikovaný útok.

“Počiatočná analýza naznačila, že tento hack má podobnú vysokú úroveň zložitosti ako nedávny hack Balancer, takže vás prosíme o trpezlivosť pri vykonávaní post-mortem analýzy. Neexistuje žiadny iný produkt Yearn používajúci podobný kód, ktorý bol zasiahnutý,” potvrdil tím z overenia používateľov jeho hlavných úložísk.

Čítajte viac: Narušení Balancer spojené s chybou zaokrúhľovania dávkového swapu; Vyšetrovanie pokračuje

Tím tiež zdôraznil svoj záväzok k berispečnosti vážne a sľúbil, že všetky poučenia z incidentu integrujú do budúceho vývoja protokolu. Tím nasmeroval všetkých používateľov ovplyvnených udalosťou, aby otvorili tiket podpory na jeho Discord kanáli pre pomoc.

Medzitým v neskoršej aktualizácii, Yearn tvrdila, že získala späť 857,49 pxETH (Dinero Staked ETH) v hodnote 2,39 milióna dolárov. K obnoveniu došlo s pomocou tímov Plume a Dinero, ktoré sú spojené s inštitucionálnym likvidným staking tokenom použitým v zasiahnutom poole.

FAQ 💡

• Čo sa stalo s Yearn Finance? Exploit vlastného yETH stableswap poolu spôsobil približne 9 miliónov dolárov strát 30. novembra.
• Sú hlavné úložiská Yearn ovplyvnené? Yearn potvrdil, že úložiská V2 a V3 sú bezpečné a nesúvisia so zasiahnutým kontraktom.
• Ktoré pooly boli zasiahnuté? Útok zasiahol yETH Stableswap Pool (~8M dolárov) a yETH-WETH Pool na Curve (~0,9M dolárov).
• Ako Yearn reaguje? Spoločná vojnová miestnosť so SEAL911 a ChainSecurity vyšetruje tento vysoko zložitý hack.