Yearn Finance je prizadet zaradi DeFi izkoriščanja v višini 9 milijonov USD, povrne 2,39 milijona USD pxETH

Ocena vpliva in zajezitev

Yearn Finance, decentraliziran finančni (DeFi) agregator donosov, je potrdil varnostni incident, ki je vključeval prilagojen yETH stableswap bazen, zaradi katerega je prišlo do približno 9 milijonov USD skupnih izgub. Eksploatacija, ki se je zgodila ob 16:11 EST 30. novembra, je vključevala nepooblaščeno kovanje velike količine yETH. Ključnega pomena je, da je Yearn izjavil, da je prizadeta pogodba prilagojena različica priljubljene stableswap kode in ni povezana z drugimi izdelki Yearn.

V posodobitvi, ki je bila deljena na X, je protokol potrdil, da glavna Yearn V2 in V3 trezorja nista prizadeta zaradi te specifične ranljivosti. Začetna analiza je pokazala, da je napad ciljal predvsem dve področji: yETH Stableswap Pool, z neposrednim učinkom približno 8 milijonov USD, in yETH-WETH Stableswap Pool na Curve, kjer je bilo sifoniranih približno 0,9 milijona USD.

Yearn je dejal, da so hitro ustanovili skupno “vojno sobo” z varnostnimi partnerji, vključno z belo-hat hekersko kolektivno SEAL911 in yETH revizijskim partnerjem ChainSecurity, za izvedbo popolne post-mortem preiskave.

Po mnenju ekipe Yearn predhodni kazalniki kažejo, da gre za zelo sofisticiran napad.

“Začetna analiza je pokazala, da ima ta hekerski napad podobno visoko raven kompleksnosti kot nedavni napad na Balancer, zato prosimo za potrpljenje med izvajanjem post-mortem analize. Noben drug Yearn izdelek ne uporablja podobne kode kot tista, ki je bila prizadeta,” je ekipa potrdila in poskušala pomiriti uporabnike svojih glavnih trezorjev.

Preberite več: Prelom Balancer vezan na napako pri zaokroževanju serijskega zamenjevanja; preiskava v teku

Ekipa je prav tako poudarila svojo zavezanost resnemu obravnavanju varnosti in obljubila, da bo vse naučene lekcije iz incidenta vključila v prihodnji razvoj protokola. Ekipa je usmerila vse uporabnike, ki jih je dogodek prizadel, da odprejo podporni tiket na svojem Discord kanalu za pomoč.

Medtem je v kasnejši posodobitvi Yearn izjavil, da so povrnili 857,49 pxETH (Dinero vložen ETH) v vrednosti 2,39 milijona USD. Obnovitev je bila dosežena s pomočjo ekip Plume in Dinero, ki so povezane z institucionalnim likvidnim staknjenjem, uporabljenim v prizadetem bazenu.

POGOSTA VPRAŠANJA 💡

• Kaj se je zgodilo z Yearn Finance? Eksploatacija prilagojenega yETH stableswap bazena je povzročila približno 9 milijonov USD izgub 30. novembra.
• Ali so glavni trezorji Yearn prizadeti? Yearn je potrdil, da sta trezorja V2 in V3 varna in nepovezana s prizadeto pogodbo.
• Kateri bazeni so bili ciljani? Napad je prizadel yETH Stableswap Pool (~8M USD) in yETH-WETH Pool na Curve (~0,9M USD).
• Kako Yearn odgovarja? Skupna vojna soba s SEAL911 in ChainSecurity preiskuje ta zelo kompleksni hekerski napad.