Yearn Finance, $9M DeFi Saldırısına Uğradı, $2.39M pxETH Kurtarıldı

Etkilenme Değerlendirmesi ve Sınırlama

Yearn Finance, merkeziyetsiz finans (DeFi) getiri toplayıcısı, yaklaşık 9 milyon dolarlık toplam kayıpla sonuçlanan özel bir yETH stableswap havuzunu içeren bir güvenlik sorunu yaşandığını doğruladı. 30 Kasım saat 16:11 EST’de gerçekleşen bu suistimal, büyük miktarda yetkisiz yETH basımını içeriyordu. Önemli olarak, Yearn etkilenen sözleşmenin popüler stableswap kodunun özel bir versiyonu olduğunu ve diğer Yearn ürünleriyle tamamen alakasız olduğunu belirtti.

X’te paylaşılan bir güncellemede protokol, ana Yearn V2 ve V3 kasalarının bu belirli zafiyetten etkilenmediğini doğruladı. İlk analiz, saldırının öncelikle iki alanı hedef aldığını belirtti: yaklaşık 8 milyon dolar doğrudan etkili yETH Stableswap Pool ve yaklaşık 0.9 milyon doların kaçırıldığı Curve üzerindeki yETH-WETH Stableswap Pool.

Yearn, beyaz şapka hacker kolektifi SEAL911 ve yETH denetim ortağı ChainSecurity dahil olmak üzere güvenlik ortaklarıyla birlikte ortak bir “savaş odası” oluşturarak tam bir post-mortem inceleme yapmak için hızla harekete geçti.

Yearn ekibine göre, ilk göstergeler bunun son derece karmaşık bir saldırı olduğunu gösteriyor.

“İlk analiz, bu saldırının Balancer saldırısına benzer yüksek karmaşıklık seviyesine sahip olduğunu gösterdi, bu yüzden post-mortem analizini gerçekleştirirken lütfen bize sabır gösterin. Etkilenen koda benzer başka hiçbir Yearn ürünü yoktur,” ekip, ana kasalarının kullanıcılarını temin etmek için onayladı.

Daha fazlasını okuyun: Batch Swap Yuvarlama Hatasına Bağlı Balancer İhlali; Soruşturma Devam Ediyor

Ekip ayrıca güvenliği ciddiye aldıklarını ve olaydan edinilen tüm dersleri gelecekteki protokol geliştirmelerine entegre etmeye söz verdiğini vurguladı. Etkilenen herhangi bir kullanıcıdan yardım almak için Discord kanalında bir destek bileti açmaları istendi.

Bu arada, daha sonraki bir güncellemede, Yearn 857.49 pxETH (Dinero Staked ETH) değerinde, 2.39 milyon dolarlık bir geri kazanım gerçekleştirdiğini belirtti. Kurtarma, etkilenen havuzdaki kurumsal likidite staking tokenı ile ilişkili Plume ve Dinero ekiplerinin yardımıyla sağlandı.

SSS 💡

• Yearn Finance’e ne oldu? Özel bir yETH stableswap havuzu suistimali 30 Kasım’da yaklaşık 9 milyon dolarlık kayba neden oldu.
• Yearn’ın ana kasaları etkilendi mi? Yearn, V2 ve V3 kasalarının güvenli olduğunu ve etkilenen sözleşmeyle alakasız olduğunu doğruladı.
• Hangi havuzlar hedef alındı? Saldırı, yETH Stableswap Havuzunu (~8M$) ve Curve üzerindeki yETH-WETH Havuzunu (~0.9M$) hedef aldı.
• Yearn nasıl yanıt veriyor? Bu son derece karmaşık hack’i araştırmak için SEAL911 ve ChainSecurity ile ortak bir savaş odası kuruldu.