Yearn Finance frappé par une nouvelle exploitation alors qu'un attaquant crée des trillions de jetons yETH

Source : DefiPlanet Titre original : Yearn Finance frappé par une nouvelle exploitation alors qu'un attaquant crée des trillions de tokens yETH Lien original :

Résumé rapide

• L'attaquant a exploité un contrat yETH hérité pour frapper plus de 235 trillions de jetons et vider les pools de Balancer.
• Au moins $3M a transité par Tornado Cash, avec d'autres fonds toujours liés aux portefeuilles de l'attaquant.
• Yearn déclare que ses coffres V2 et V3 restent sécurisés, limitant l'impact à une infrastructure obsolète.

L'attaque de minting infini vide des millions des pools de balancer

Yearn Finance est confronté à une nouvelle violation de sécurité après qu'un attaquant a exploité un défaut de longue date dans son contrat de jeton yETH hérité. Tard le 30 novembre, l'exploitant a déclenché une vulnérabilité d'infini-mint qui lui a permis de générer plus de 235 trillions de jetons yETH en une seule transaction, une offre bien au-delà de ce qui devrait exister.

Nous enquêtons sur un incident impliquant le pool de stableswap yETH LST.

Les coffres Yearn ( tant V2 que V3) ne sont pas affectés.

Armé de ce massive lot de tokens, l'attaquant a rapidement vidé les pools Balancer détenant des actifs réels, y compris de l'ETH et des dérivés de staking liquide majeurs. Le pool yETH stableswap a été vidé en quelques minutes, entraînant un déficit estimé à 2,8 millions de dollars.

Incident confiné au vieux produit yETH, pas aux coffres modernes

Yearn Finance a confirmé que le problème provenait d'une version obsolète de sa logique yETH, soulignant que le défaut n'affecte pas ses coffres V2 ou V3. Les protocoles construits sur Yearn V3, tels que Katana, ont également signalé aucune exposition.

Les analystes en sécurité ont noté qu'un groupe de contrats auxiliaires est apparu brièvement avant l'attaque et s'est auto-détruit une fois les pools vidés, une tactique d'évasion couramment utilisée pour brouiller les traces sur la chaîne. Les premières analyses suggèrent que l'exploitation provenait d'une faiblesse de minting connue dans le contrat hérité, et non de l'architecture actuelle de Yearn.

Le protocole maintient un programme de récompense pour les bugs actif offrant jusqu'à 200 000 $ pour des découvertes critiques, bien qu'aucun plan de récupération n'ait été annoncé.

Fonds acheminés via Tornado Cash au milieu d'un mouvement en cours

Des observateurs on-chain, y compris le chercheur Togbo, ont rapporté que l'attaquant a déplacé des ETH par lots de 100 via Tornado Cash peu après l'exploitation. Environ 1 000 ETH ont été mélangés en quelques heures, tandis que d'autres actifs d'une valeur de plusieurs millions de dollars restent dans les portefeuilles de l'attaquant.

Le pool yETH détenait environ $11 millions avant la violation. Yearn a réitéré que les fonds des utilisateurs dans les coffres actifs sont en sécurité, même si les chiffres finaux des pertes sont encore en cours de calcul.

L'incident s'ajoute à l'histoire de Yearn en matière de gestion des risques hérités, suite à son exploitation de yDAI en 2021 et à une mauvaise configuration de la trésorerie en 2023.