تعرضت Yearn Finance لهجوم جديد حيث قام المهاجم بصك تريليونات من عملة yETH

المصدر: DefiPlanet العنوان الأصلي: تعرضت Yearn Finance لعملية استغلال جديدة حيث قام المهاجم بصك تريليونات من رموز yETH رابط أصلي:

تحليل سريع

• قام المهاجم باستغلال عقد yETH القديم لسك أكثر من 235 تريليون رمز وسحب أموال من برك Balancer.
• على الأقل $3M قد تم تحويله عبر Tornado Cash، مع المزيد من الأموال المرتبطة بمحافظ المهاجمين.
• يقول Yearn إن خزانات V2 و V3 الخاصة به تظل آمنة، مما يحد من التأثير على البنية التحتية القديمة.

هجوم التخصيم اللانهائي يستنزف الملايين من برك بالانسير

تواجه Yearn Finance خرقًا أمنيًا جديدًا بعد أن استغل مهاجم ثغرة طويلة الأمد في عقد رمز yETH القديم الخاص بها. في وقت متأخر من 30 نوفمبر، قام المستغل بتفعيل ثغرة الصك غير المحدود التي سمحت له بإنشاء أكثر من 235 تريليون رمز yETH في معاملة واحدة، وهو إمداد يتجاوز بكثير ما ينبغي أن يوجد.

نحن نحقق في حادث يتعلق بمجمع استبدال yETH LST.

صناديق Yearn ( كل من V2 و V3) غير متأثرة.

مسلحًا بهذه الدفعة الضخمة من الرموز، قام المهاجم بسرعة بتفريغ أحواض Balancer التي تحتوي على أصول حقيقية، بما في ذلك ETH والمشتقات الرئيسية للتخزين السائل. تم تفريغ حوض yETH للتداول الثابت في غضون دقائق، مما نتج عنه عجز مقدر بقيمة 2.8 مليون دولار.

الحادث مقتصر على منتج yETH القديم، وليس على الخزائن الحديثة

أكدت Yearn Finance أن المشكلة ناتجة عن إصدار قديم من منطق yETH الخاص بها، مشددة على أن العيب لا يؤثر على خزائن V2 أو V3 الخاصة بها. كما أفادت البروتوكولات المبنية على Yearn V3، مثل Katana، بعدم وجود أي تعرض.

لاحظ محللو الأمن أن مجموعة من العقود المساعدة ظهرت لفترة وجيزة قبل الهجوم وتفككت ذاتياً بمجرد استنزاف البرك، وهي استراتيجية مراوغة تُستخدم عادةً لتشويش الآثار على السلسلة. تشير المراجعات الأولية إلى أن الاستغلال نبع من ضعف معروف في عملية الصك في العقد القديم، وليس في البنية الحالية لـ Yearn.

يحتفظ البروتوكول ببرنامج نشط لمكافآت الأخطاء يقدم ما يصل إلى 200,000 دولار للاكتشافات الحرجة، على الرغم من أنه لم يتم الإعلان عن خطة استرداد.

الأموال التي تم تحويلها عبر Tornado Cash وسط الحركة المستمرة

أبلغ مراقبو السلسلة، بما في ذلك الباحث توغبو، أن المهاجم قام بتحويل ETH على دفعات من 100 عبر تورنادو كاش بعد فترة وجيزة من الاستغلال. تم خلط حوالي 1,000 ETH في غضون ساعات، بينما تبقى أصول إضافية بقيمة عدة ملايين من الدولارات في محافظ المهاجم.

احتفظ بركة yETH بحوالي $11 مليون قبل الخرق. أكدت Yearn أن أموال المستخدمين في الصناديق النشطة آمنة، حتى مع استمرار جمع الأرقام النهائية للخسائر.

تضيف الحادثة إلى تاريخ Yearn في التعامل مع المخاطر القديمة، بعد استغلال yDAI في عام 2021 وسوء تكوين الخزينة في عام 2023.