Взлом Yearn Finance: Yearn Finance восстанавливает 2,4M $ после взлома yETH

Yearn Finance возвращает 2,4 миллиона долларов после сложного взлома yETH, расследование продолжается, подчеркивая риски устаревших DeFi и продолжающиеся усилия по возврату активов.

Yearn Finance подтвердил возврат 2,4 миллиона долларов после недавней эксплуатации уязвимости yETH. Это важный шаг в продолжающейся миссии по ограничению потерь после сложной атаки, которая вывела почти 9 миллионов долларов из устаревших контрактов.

Yearn подтверждает частичное восстановление после сложной атаки

Согласно обновлению Yearn, было возвращено 857,49 pxETH, что было обеспечено координацией с Plume и Dinero. Возвращенные активы будут возвращены пострадавшим пользователям. Эксплуатация уязвимости была основана на старом пуле стейблсвопа yETH, а также на меньшем пуле активов yETH в WETH на Curve. Атака была высокой сложности, подобно недавней атаке на Balancer, и продемонстрировала долгосрочные опасности в устаревшей архитектуре DeFi.

Инцидент произошел 30 ноября и использовал нестандартный пул через использование нестандартного кода. Этот пользовательский контракт имел серьезную арифметическую ошибку. Недостаток позволил атакующему создать огромное количество yETH за один шаг. Затем атакующий обменял эту созданную сумму на реальные активы, истощая ликвидность из обоих затронутых пулов до того, как следователи заметили проблему.

Связанное чтение: Взлом Yearn Finance: Yearn Finance подвергся крупному взлому yETH, ETH отправлен в миксер | Live Bitcoin News

Более того, исследователи отследили почти 1 000 ETH, или примерно 3 миллиона долларов, через Tornado Cash. Это движение скрыло часть украденных средств. Однако атакующий оставил другие активы в кошельке, что сделало возможным усилия по возврату. Существование этих средств создало возможность для Yearn договориться о возврате pxETH. Кроме того, атакующий развернул временные вспомогательные контракты, которые самоуничтожились, что затруднило он-чейн обработку.

По мере продолжения усилий по возврату активов, Yearn призвал пострадавших пользователей обращаться за поддержкой через Discord. Команда сообщила, что старые контракты находятся на рассмотрении, чтобы избежать дальнейших проблем. Они также подчеркнули, что эксплуатация уязвимости не затронула хранилища V2 или V3. Эти более продвинутые хранилища имеют отдельные пути кода и имеют преимущество лучших стандартов безопасности во всей экосистеме.

Продолжающееся расследование подчеркивает устаревшие риски в DeFi

В отчете Yearn говорится, что целевой пул использовал устаревшую логику, которая больше не встречается в его основных продуктах. Этот старый механизм стейблсвопа использовался для управления инвариантами с некоторой пользовательской логикой. Этот дизайн имел числовую ошибку, которую использовали атакующие. Кроме того, Yearn подтвердил, что это был третий крупный удар по протоколу с 2021 года, показывая, что устаревшие компоненты по-прежнему являются точками входа с высоким риском.

Наблюдатели отрасли отмечают, что атака имеет схожие шаблоны с другими недавними DeFi взломами. Продвинутые противники теперь все чаще комбинируют числовые эксплойты с инструментами конфиденциальности и самоуничтожающимися контрактами. Эти методы снижают отслеживаемость и проверяют стандартные рабочие процессы восстановления. Однако даже продолжающийся прогресс Yearn показывает, что согласованные усилия все еще приводят к некоторому успеху, особенно когда атакующие оставляют что-то незащищенным.

Более того, протокол подчеркивает, что компенсация не будет ждать судебного процесса и длительных переговоров. Этот подход направлен на то, чтобы как можно быстрее поддержать вкладчиков и минимизировать нарушения для пользователей, которые полагались на историческую инфраструктуру Yearn. Дальнейшие восстановления могут произойти при условии, что условия в цепочке позволяют дальнейшее извлечение активов.

Тем временем эксперты DeFi говорят, что инцидент также подчеркивает важность вывода из эксплуатации устаревших контрактов. Они говорят, что старые системы создают больше уязвимостей в системе, особенно когда различные пулы ликвидности все еще живы в старых и устаревших пулах. По мере продолжения расследования, шаги Yearn могут привести другие платформы к усилению их аудитов и минимизации воздействия подобных сбоев, вызывающих ликвидацию в критические периоды на рынке.

Пост Взлом Yearn Finance: Yearn Finance возвращает 2,4 миллиона долларов после взлома yETH впервые появился на Live Bitcoin News.