Yearn Finance sofreu um ataque de emissão infinita, resultando em uma perda de 9 milhões de dólares. A técnica é semelhante ao incidente do Balancer?

O protocolo de rendimento Descentralização Yearn Finance voltou a sofrer um grave incidente de segurança cibernética, com o pool de liquidez Yearn Ether (yETH) sendo atacado hoje por um contrato. Os hackers exploraram uma vulnerabilidade no contrato de troca estável personalizado, realizando com sucesso a operação de “mintagem infinita” e drenando todo o pool, resultando em uma perda de cerca de 9 milhões de dólares. Yearn enfatizou que este incidente se limita a um único contrato personalizado, com outros produtos Vault não sendo afetados.

Como ocorre um ataque? Yearn sofreu um ataque de mintagem infinita, com perdas de 9 milhões de dólares.

O monitor de blockchain Togbe apontou que ele primeiro observou um grande número de operações suspeitas relacionadas ao yETH, incluindo o deployment de contratos temporários, caminhos de troca estranhos e uma grande interação com o Tornado Cash. Em seguida, esclareceu o cerne desse ataque, que se baseia no contrato de troca de stablecoins personalizado (stableswap) utilizado pelo yETH.

Ele apontou que o yETH é um ativo de índice projetado pela Yearn para integrar vários LST, e que os atacantes descobriram uma vulnerabilidade na lógica do contrato, permitindo que eles mintassem uma quantidade quase infinita de yETH. Esses tokens foram então trocados por ativos reais no pool, incluindo ETH e outros LST, esvaziando todo o pool em uma única transação.

O contrato foi criado com um nível astronômico de yETH

De acordo com informações, o ataque foi composto por vários contratos inteligentes implantados temporariamente. Alguns desses contratos se autodestruíram imediatamente após a conclusão do ataque, mostrando que a rota do ataque foi cuidadosamente planejada, o que também aumentou a dificuldade de rastrear. No início, o público viu cerca de 1.000 ETH ( cerca de 3 milhões de dólares ) sendo transferidos para o Tornado Cash, mas na verdade, as perdas totais do incidente foram muito além disso.

A influência se expandirá? Yearn enfatiza que V2, V3 e outros produtos são seguros.

O Yearn anunciou imediatamente que a perda do pool principal foi de cerca de 8 milhões de dólares, além de aproximadamente 900 mil dólares provenientes do pool yETH-WETH na Curve, totalizando uma perda de cerca de 9 milhões de dólares.

A equipe também rapidamente acalmou os usuários, enfatizando que o evento está relacionado apenas ao contrato de stablecoin personalizado (stableswap) usado pelo yETH, e não envolve o design do Vault principal implantado pelo Yearn. Em outras palavras, os Vaults V2 e V3 não foram afetados, e produtos relacionados como yCRV, Katana e Morpho continuam a operar normalmente.

A boa notícia em meio ao infortúnio é que o yETH não foi utilizado como colateral por grandes protocolos de empréstimo do mercado, evitando assim liquidações em cadeia ou pressão sistêmica, mantendo o impacto controlado dentro de limites relativamente restritos.

A equipe de segurança cibernética da Shield apontou que, além de parte dos fundos já lavados no Tornado Cash, o endereço do atacante ainda possui cerca de 6 milhões de dólares não movidos, possivelmente ainda observando o progresso da investigação.

A técnica é semelhante ao ataque do Balancer, a investigação subsequente ainda está em andamento.

A equipe do Yearn afirmou que a complexidade deste ataque é bastante alta, possuindo até mesmo algumas semelhanças com o recente evento do Balancer, incluindo interações de contratos em múltiplas camadas, lógica de transação e uma compreensão profunda do modelo de precificação de curvas. A equipe oficial está realizando uma investigação abrangente com vários parceiros de auditoria, ChainSecurity, para lançar o relatório completo o mais rápido possível.

(Balancer reação em cadeia? Stream Finance perdeu 93 milhões de dólares, xUSD descolou e colapsou)

Este artigo sobre o Yearn Finance sofreu um ataque de emissão infinita, resultando em uma perda de 9 milhões de dólares, com métodos semelhantes ao incidente do Balancer? Apareceu pela primeira vez na ABMedia da Chain News.