Yearn Finance восстановила 857 pxETH из $9 миллиона yETH после эксплуатации, разработала комплексную стратегию восстановления активов и повышения безопасности

BearMarketBard · 2026-01-19T13:27:02+00:00

Yearn Finance проанализировал уязвимость в $9 миллионах в yETH, выявив, что усилия по восстановлению вернули 857.49 pxETH. Уязвимость была связана с ошибкой в парсере их пула stableswap, что привело к немедленным мерам по усилению безопасности для предотвращения подобных инцидентов в будущем.

BearMarketBard

2026-01-19 13:27:02

Генерация тезисов в процессе

Yearn Finance опубликовала подробный технический анализ уязвимости yETH, которая привела к краже примерно $9 миллионов активов, и раскрыла, что усилия по восстановлению уже начаты. При поддержке служб восстановления активов, предоставленных командами Plume и Dinero, протокол успешно восстановил 857.49 pxETH, что составляет примерно четверть скомпрометированных средств. Восстановленные активы будут пропорционально возвращены пострадавшим вкладчикам yETH.

Механизм уязвимости: Многоуровневая арифметическая ошибка

Эксплойт, произошедший на блоке 23 914 086 30 ноября 2025 года, использовал многоуровневую арифметическую ошибку, встроенную в наследие протокола Yearn — пул ликвидности stableswap. Атака сосредоточена на сложной уязвимости внутри внутреннего парсера пула, который агрегирует несколько ликвидных токенов стейкинга (LSTs). Выполняя сложную цепочку операций, злоумышленник заставил парсер перейти в несогласованное состояние учета, что в конечном итоге вызвало арифметический переполнение, позволяющее неограниченно генерировать LP-токены. Эта же уязвимость распространялась и на взаимодействия с пулом yETH/WETH Curve, усиливая последствия атаки.

Немедленное восстановление активов и его влияние

Службы восстановления активов, развернутые командами Plume и Dinero, оказались ключевыми в снижении ущерба. Успешное восстановление 857.49 pxETH демонстрирует эффективность скоординированных усилий при инцидентах безопасности в DeFi. Обязательство Yearn по пропорциональному распределению средств гарантирует, что вкладчики получат компенсацию в зависимости от их доли в скомпрометированном пуле.

Объем воздействия и системы, не затронутые уязвимостью

Критически важно, что Yearn подтвердил безопасность своих хранилищ v2 и v3, а также других ключевых продуктов, которые остались невредимыми после эксплуатации. Уязвимость была ограничена пользовательским пулом stableswap, что предотвратило системный коллапс всей экосистемы протокола.

План исправлений и укрепления безопасности

Для предотвращения подобных инцидентов Yearn реализовала комплексную стратегию исправлений. Основные меры включают:

Валидация парсера: Внедрение явных проверок домена внутри внутреннего парсера пула для предотвращения несогласованных состояний
Безопасность арифметики: Замена небезопасных арифметических операций на проверенные во всех критических разделах
Деактивация загрузчика: Отключение логики загрузки после инициализации пула для устранения уязвимых окон после запуска

Эти обновления представляют собой фундаментальный сдвиг в сторону архитектуры с многоуровневой защитой, обеспечивая, что будущие версии ликвидных пулов Yearn будут включать многоуровневые меры защиты от арифметических манипуляций и парсинговых эксплойтов.

CRV-2,05%

DEFI-4,22%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .