Yearn Finance подвергся эксплойту yETH с отправкой 3M $ в Tornado Cash

Yearn Finance столкнулся с новым нарушением безопасности после того, как злоумышленник использовал контракт токена yETH и вывел миллионы в ETH и ликвидных стейкинговых активах из пулов Balancer.

Инцидент произошел поздно 30 ноября, когда злоумышленник использовал уязвимость бесконечной эмиссии в контракте yETH. Затем они создали невероятно большое количество yETH, более 235 триллионов токенов, в одной транзакции. 

С помощью этих токенов злоумышленник быстро перемещался через пулы Balancer, извлекая реальные активы, включая ETH и популярные стейкинговые деривативы. Первоначальные следы показывают, что почти 3 миллиона $ прошли через Tornado Cash вскоре после эксплойта, в то время как адрес злоумышленника все еще содержит дополнительные активы, связанные с этим событием.

Эксплойт изолирован от устаревшего продукта yETH

Данные блокчейна показывают, что пул стейблсвопа yETH был опустошен за считанные минуты, оставив дыру примерно в 2,8 миллиона $. Yearn Finance(YFI) заявил, что проблема находится в более старой реализации yETH и не затрагивает его хранилища V2 или V3. Протоколы, построенные на Yearn V3, включая Katana, также сообщили об отсутствии воздействия.

Несколько вспомогательных контрактов появились за несколько мгновений до атаки и исчезли через вызовы самоуничтожения после того, как пул был опустошен, что затруднило отслеживание.

Команды безопасности, анализирующие транзакции, включая аудиторов, отслеживающих старые продукты Yearn, связали событие с давней слабостью эмиссии в логике токена yETH, а не с проблемой в текущей архитектуре хранилища Yearn.

Протокол поддерживает действующую программу вознаграждений за обнаружение ошибок с наградами до 200 000 $ за критические открытия, хотя путь восстановления пока не объявлен.

Активность в сети усиливается после оттока ликвидности

Вскоре после краха пула пользователь X Togbo отметил несколько перемещений партий по 100 ETH через Tornado Cash. В общей сложности около 1 000 ETH было смешано в течение нескольких часов после эксплойта. Злоумышленник по-прежнему сохраняет дополнительные активы стоимостью несколько миллионов долларов на нескольких кошельках.

Пул yETH содержал примерно 11 миллионов $ до взлома, и хотя окончательная сумма убытков все еще находится на рассмотрении, Yearn заявил, что средства пользователей в активных хранилищах остаются в безопасности.

Этот инцидент добавляется к длинной истории протокола по управлению устаревшими рисками, произошедшей через годы после эксплойта yDAI в 2021 году и неправильной конфигурации казначейства в 2023 году, которая не затронула вкладчиков. YFI упал примерно на 4% после события и торговался около 4 002 $ на момент публикации.