Yearn Finance Tinamaan ng $9M DeFi Exploit, Nakarekober ng $2.39M pxETH

Pagsusuri ng Epekto at Containment

Yearn Finance, ang decentralized finance (DeFi) yield aggregator, ay nagkumpirma ng isang insidente sa seguridad na kinasasangkutan ng isang custom na yETH stableswap pool na nagresulta sa humigit-kumulang $9 milyon sa kabuuang pagkalugi. Ang exploit, na naganap noong 16:11 EST sa Nov. 30, ay kinasasangkutan ng hindi awtorisadong minting ng malaking halaga ng yETH. Mahalaga, sinabi ng Yearn na ang apektadong kontrata ay isang custom na bersyon ng sikat na stableswap code at ganap na walang kaugnayan sa iba pang produkto ng Yearn.

Sa isang update na ibinahagi sa X, kinumpirma ng protocol na ang pangunahing Yearn V2 at V3 vaults ay hindi apektado ng partikular na kahinaang ito. Ang isang paunang pagsusuri ay nagpapahiwatig na ang pag-atake ay pangunahing naka-target sa dalawang lugar: ang yETH Stableswap Pool, na may direktang epekto ng halos $8 milyon, at ang yETH-WETH Stableswap Pool sa Curve, kung saan humigit-kumulang $0.9 milyon ang nasiphon.

Sinabi ng Yearn na mabilis silang kumilos upang bumuo ng isang magkasamang “war room” kasama ang mga security partners, kabilang ang kolektibong puting-sombrero na hacker na SEAL911 at ang yETH audit partner na ChainSecurity, upang magsagawa ng isang buong post-mortem na pagsusuri.

Ayon sa koponan ng Yearn, ang mga paunang indikasyon ay nagpapahiwatig na ito ay isang lubos na sopistikadong pag-atake.

“Ang paunang pagsusuri ay nagpapahiwatig na ang hack na ito ay may katulad na mataas na antas ng pagiging kumplikado sa kamakailang Balancer hack, kaya mangyaring makipatuloy sa amin habang ginagawa namin ang post-mortem na pagsusuri. Walang ibang produkto ng Yearn na gumagamit ng katulad na code sa naapektuhan,” kinumpirma ng koponan, na sinisikap na panatag ang mga gumagamit ng kanilang pangunahing vaults.

Basahin pa: Balancer Breach Tied to Batch Swap Rounding Bug; Investigation Ongoing

Binigyang diin din ng koponan ang kanilang komitment sa pagtingin sa seguridad nang seryoso at nangako na isasama ang lahat ng aral na natutunan mula sa insidente para sa pag-unlad ng kanilang hinaharap na protocol. Itinuon ng koponan ang sinumang gumagamit na apektado ng insidente na magbukas ng support ticket sa kanilang Discord channel para sa tulong.

Samantala, sa isang mas bagong update, inaangkin ng Yearn na nakabawi ito ng 857.49 pxETH (Dinero Staked ETH) na may halagang $2.39 milyon. Ang pagbawi ay nakamit sa tulong ng mga koponan ng Plume at Dinero, na nauugnay sa institutional liquid staking token na ginamit sa apektadong pool.

FAQ 💡

• Ano ang nangyari sa Yearn Finance? Isang custom na yETH stableswap pool na exploit ang naging sanhi ng halos $9 milyon na pagkalugi noong Nov. 30.
• Apektado ba ang mga pangunahing vault ng Yearn? Kinumpirma ng Yearn na ligtas ang V2 at V3 vaults at hindi kaugnay ng naapektuhang kontrata.
• Anong mga pool ang tinarget? Ang pag-atake ay tinamaan ang yETH Stableswap Pool (~$8M) at ang yETH-WETH Pool sa Curve (~$0.9M).
• Paano tumutugon ang Yearn? Isang pinagsamang war room kasama ang SEAL911 at ChainSecurity ay nag-iimbestiga sa lubos na kumplikadong hack na ito.