Yearn Finance a subi une attaque de frappe illimitée, entraînant une perte de 9 millions de dollars. La méthode est-elle similaire à celle de l'événement Balancer ?

Le protocole de rendement décentralisé Yearn Finance a de nouveau subi un incident majeur de sécurité. Son pool de liquidité Yearn Ether (yETH) a été attaqué aujourd'hui par un contrat. Les hackers ont exploité une vulnérabilité dans le contrat d'échange stable personnalisé pour effectuer une opération de « frappe infinie » et vider l'ensemble du pool, entraînant finalement une perte d'environ 9 millions de dollars. Yearn souligne que cet incident est limité à un seul contrat personnalisé et que les autres produits Vault ne sont pas affectés.

Comment l'attaque s'est-elle produite ? Yearn a subi une attaque de frappe infinie, entraînant une perte de 9 millions de dollars.

Le surveillant de la chaîne Togbe a indiqué qu'il avait d'abord observé un grand nombre d'opérations suspectes liées aux adresses yETH, y compris le déploiement de contrats temporaires, des chemins d'échange étranges, ainsi qu'une interaction massive avec Tornado Cash. Il a ensuite clarifié le cœur de cette attaque, qui réside dans le contrat de swap stable personnalisé utilisé par yETH (stableswap).

Il a souligné que yETH est un actif indiciel conçu par Yearn pour intégrer plusieurs LST, et que l'attaquant a trouvé une vulnérabilité dans la logique de ce contrat, lui permettant de frapper une quantité presque illimitée de yETH. Ces jetons ont ensuite été échangés contre des actifs réels dans le pool, y compris ETH et d'autres LST, ce qui a vidé l'ensemble du pool en une seule transaction.

Le contrat a été émis à un niveau astronomique de yETH.

Selon des informations, cette attaque est composée de plusieurs contrats intelligents déployés temporairement. Certains de ces contrats s'auto-détruisent immédiatement après avoir mené l'attaque, montrant que le chemin de l'attaque a été soigneusement élaboré, augmentant ainsi la difficulté d'enquête. Au début, le public n'a vu qu'environ 1 000 ETH (, soit environ 3 millions de dollars ), transférés dans Tornado Cash, mais en réalité, les pertes de l'ensemble de l'incident sont bien plus importantes.

L'impact s'est-il élargi ? Yearn souligne que V2, V3 et d'autres produits sont tous sécurisés.

Yearn a également publié une annonce indiquant que la perte principale du pool s'élève à environ 8 millions de dollars, et qu'il y a également environ 900 000 dollars provenant du pool yETH-WETH sur Curve, pour une perte totale d'environ 9 millions de dollars.

L'équipe a également immédiatement apaisé les utilisateurs, en soulignant que cet événement n'était lié qu'au contrat de stabilisation personnalisé (stableswap) utilisé par yETH, et n'impliquait pas le design du Vault principal déployé par Yearn. En d'autres termes, les Vaults V2 et V3 n'ont pas été affectés, et des produits connexes tels que yCRV, Katana, Morpho, etc. continuent de fonctionner normalement.

La bonne nouvelle dans le malheur est que le yETH n'a pas été utilisé comme garantie par les principaux protocoles de prêt du marché, ce qui n'a pas entraîné de liquidations en chaîne ni de pression systémique, permettant ainsi de contenir l'impact dans une portée relativement limitée.

L'équipe de cybersécurité a signalé que, en plus des fonds déjà blanchis via Tornado Cash, l'adresse de l'attaquant détient actuellement environ 6 millions de dollars qui n'ont pas été déplacés, probablement en attente d'observer l'avancement de l'enquête.

Méthode similaire à l'attaque de Balancer, l'enquête est toujours en cours.

L'équipe de Yearn a déclaré que la complexité de cette attaque était assez élevée, présentant même certaines caractéristiques similaires à l'incident récent de Balancer, y compris l'interaction de contrats multi-niveaux, la logique des transactions et une compréhension approfondie du modèle de tarification de la courbe. Les responsables mènent une enquête complète avec plusieurs partenaires d'audit, ChainSecurity, afin de publier le plus rapidement possible un rapport complet.

(Balancer réaction en chaîne ? Stream Finance perte de 93 millions de dollars, effondrement du dépeg xUSD)

Cet article traite de l'attaque d'émission infinie contre Yearn Finance, entraînant une perte de 9 millions de dollars, une méthode similaire à l'incident de Balancer ? Apparue pour la première fois sur Chain News ABMedia.