Yearn Finance відновлює 857 pxETH з експлойти $9 мільйонів yETH, окреслюючи всебічну стратегію відновлення активів та підвищення безпеки

BearMarketBard · 2026-01-19T13:27:02+00:00

Yearn Finance проаналізував вразливість на $9 мільйонів у yETH, виявивши, що зусилля з відновлення повернули 857.49 pxETH. Вразливість була спрямована на недолік у парсері їхнього стабільного пулу, що спричинило негайне посилення безпеки для запобігання майбутнім інцидентам.

BearMarketBard

2026-01-19 13:27:02

Генерація анотацій у процесі

Yearn Finance опублікувала детальний технічний аналіз вразливості yETH, яка призвела до викрадення приблизно $9 мільйонів активів, розкривши, що зусилля щодо відновлення вже розпочато. За підтримки сервісів відновлення активів, наданих командами Plume та Dinero, протокол успішно повернув 857,49 pxETH, що становить приблизно чверть зкомпрометованих коштів. Ці відновлені активи будуть пропорційно повернені постраждалим вкладникам yETH.

Механізм вразливості: багатошаровий арифметичний дефект

Злом, який стався на блокчейні 23 914 086 30 листопада 2025 року, використовував багатошаровий арифметичний дефект, вбудований у спадковий пул ліквідності stableswap від Yearn. Атака зосереджувалася навколо складної вразливості внутрішнього парсера пулу, який агрегує кілька ліквідних токенів стейкінгу (LSTs). Виконавши складну ланцюг операцій, зловмисник змусив парсер перейти у неконсистентний стан обліку, що в кінцевому підсумку спричинило арифметичний переплив, який дозволив безмежне створення LP токенів. Ця сама вразливість поширилася й на взаємодії з пулом yETH/WETH Curve, посиливши вплив атаки.

Миттєвий вплив на відновлення активів

Сервіси відновлення активів, запроваджені командами Plume та Dinero, виявилися ключовими у зменшенні шкоди. Успішне повернення 857,49 pxETH демонструє ефективність скоординованих зусиль у випадках безпеки DeFi. Відданість Yearn пропорційній розподільчій системі гарантує, що вкладники отримають компенсацію відповідно до їхнього впливу на зкомпрометований пул.

Обсяг впливу та системи, що залишилися незатронутими

Критично важливо, що Yearn підтвердила безпеку своїх векселів v2 і v3, а також інших основних продуктів, які залишилися незатронутими цим злом. Вразливість була обмежена кастомним пулом stableswap, що запобігло системній кризі у всій екосистемі протоколу.

План усунення та посилення безпеки

Щоб запобігти подібним інцидентам, Yearn впровадила комплексну стратегію усунення вразливостей. Основні заходи включають:

Валідація парсера: Впровадження явних перевірок домену всередині внутрішнього парсера пулу для запобігання неконсистентних станів
Безпека арифметики: Замінюючи небезпечні арифметичні операції на перевірені у всіх критичних секціях
Деактивація bootstrap: Вимкнення логіки bootstrap після ініціалізації пулу для усунення вразливих вікон після запуску

Ці оновлення являють собою фундаментальний перехід до архітектури з багаторівневим захистом, що забезпечить включення у майбутні версії пулів ліквідності Yearn багаторівневих заходів безпеки проти арифметичних маніпуляцій та парсінгових зломів.

CRV-4,17%

DEFI-3,49%

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.