Yearn Finance зазнав атаки DeFi на $9M, відновлено $2.39M pxETH

Оцінка впливу та обмеження

Yearn Finance, децентралізований фінансовий (DeFi) агрегатор прибутковості, підтвердив інцидент безпеки, що стосується спеціального пулу yETH stableswap, який призвів до загальних втрат приблизно 9 мільйонів доларів. Експлойт, що стався о 16:11 EST 30 листопада, включав несанкціоноване виявлення великої кількості yETH. Важливо, що Yearn заявив, що постраждалий контракт є спеціальною версією популярного коду stableswap і абсолютно не пов’язаний з іншими продуктами Yearn.

В оновленні, опублікованому на X, протокол підтвердив, що основні сховища Yearn V2 і V3 не постраждали від цієї конкретної вразливості. Початковий аналіз вказав, що атака була спрямована насамперед на дві області: пул yETH Stableswap з прямим впливом близько 8 мільйонів доларів, і пул yETH-WETH на Curve, де було викрадено приблизно 0,9 мільйона доларів.

Yearn заявив, що швидко зібрав спільну “воєнну кімнату” з партнерами з безпеки, включаючи колектив білих хакерів SEAL911 і партнера з аудиту yETH, ChainSecurity, для проведення повного розслідування.

За даними команди Yearn, попередні вказівки вказують на те, що це була високорозвинена атака.

“Початковий аналіз вказував, що цей взлом має подібний високий рівень складності до недавнього взлому Balancer, тому, будь ласка, будьте терплячі, поки ми виконуємо аналіз після інциденту. Жоден інший продукт Yearn не використовує код, подібний до того, що було вплинено”, підтвердила команда, прагнучи заспокоїти користувачів щодо своїх основних сховищ.

Читайте більше: Взлом Balancer пов’язаний із помилкою округлення в пакетному обміні; розслідування триває

Команда також підкреслила свою прихильність до серйозного ставлення до безпеки і пообіцяла інтегрувати всі отримані уроки з інциденту в майбутній розвиток протоколу. Команда направила всіх користувачів, що постраждали від події, відкрити підтримковий запит на своєму каналі Discord для отримання допомоги.

Тим часом в пізнішому оновленні Yearn стверджував, що відновив 857.49 pxETH (Dinero Staked ETH) вартістю 2,39 мільйона доларів. Відновлення було досягнуто за допомогою команд Plume і Dinero, які пов’язані з інституційним токеном зі стейкінгу, що використовувався в постраждалому пулі.

FAQ 💡

• Що сталося з Yearn Finance? Експлойти спеціального пулу yETH stableswap спричинили збитки приблизно на 9 мільйонів доларів 30 листопада.
• Чи постраждали основні сховища Yearn? Yearn підтвердив, що сховища V2 та V3 безпечні і не пов’язані з ураженим контрактом.
• Які пули були в об’єкті атаки? Атака була спрямована на пул yETH Stableswap (~8M доларів) та пул yETH-WETH на Curve (~0,9M доларів).
• Як Yearn реагує? Спільна воєнна кімната з SEAL911 та ChainSecurity розслідує цей висококомплексний взлом.