Yearn Finance bị tấn công vô hạn đúc tiền, thiệt hại 9 triệu đô la, phương pháp tương tự như sự kiện Balancer?

Giao thức lợi nhuận Phi tập trung Yearn Finance lại xảy ra sự cố an ninh mạng nghiêm trọng, nhóm thanh khoản Yearn Ether (yETH) hôm nay đã bị tấn công hợp đồng, tin tặc lợi dụng lỗ hổng trong hợp đồng trao đổi ổn định tùy chỉnh để thực hiện thao tác “đúc tiền vô hạn” và rút cạn toàn bộ nhóm, cuối cùng gây thiệt hại khoảng 9 triệu đô la Mỹ. Yearn nhấn mạnh sự cố này chỉ giới hạn trong một hợp đồng tùy chỉnh duy nhất, các sản phẩm Vault khác không bị ảnh hưởng.

Cuộc tấn công xảy ra như thế nào? Yearn đã chịu một cuộc tấn công phát hành vô hạn, thiệt hại 9 triệu đô la.

Người giám sát trên chuỗi Togbe chỉ ra rằng, anh ta đã quan sát thấy các địa chỉ liên quan đến yETH liên tục xuất hiện nhiều hoạt động đáng ngờ, bao gồm việc triển khai hợp đồng tạm thời, các đường trao đổi kỳ lạ, và sự tương tác lớn với Tornado Cash. Sau đó đã làm rõ cốt lõi của cuộc tấn công này, đó là hợp đồng ổn định trao đổi tùy chỉnh mà yETH sử dụng (stableswap).

Ông chỉ ra rằng yETH bản thân nó là tài sản chỉ số được Yearn thiết kế để tích hợp nhiều LST khác nhau, trong khi kẻ tấn công đã tìm ra lỗ hổng trong logic của hợp đồng, cho phép họ đúc ra gần như số lượng yETH không giới hạn. Những đồng tiền này sau đó đã được đổi thành tài sản thực trong nhóm, bao gồm ETH và các LST khác, khiến toàn bộ nhóm bị rút cạn trong một giao dịch.

Hợp đồng được đúc ra con số thiên văn yETH

Theo thông tin, cuộc tấn công được cấu thành từ nhiều hợp đồng thông minh được triển khai tạm thời. Một số hợp đồng trong số đó ngay lập tức tự hủy sau khi hoàn thành cuộc tấn công, cho thấy lộ trình tấn công đã được lập kế hoạch tỉ mỉ, đồng thời cũng làm tăng độ khó trong việc truy tìm. Ban đầu, công chúng chỉ thấy khoảng 1,000 ETH ( khoảng 3 triệu USD ) được chuyển vào Tornado Cash, nhưng thực tế tổn thất của toàn bộ sự kiện còn vượt xa con số đó.

Ảnh hưởng có mở rộng không? Yearn nhấn mạnh V2, V3 và các sản phẩm khác đều an toàn

Năm chính thức cũng ngay lập tức phát hành thông báo, cho biết rằng nhóm thanh khoản chính bị thua lỗ khoảng 8 triệu đô la, thêm khoảng 900.000 đô la đến từ nhóm yETH-WETH trên Curve, tổng cộng thua lỗ khoảng 9 triệu đô la.

Đội ngũ cũng lập tức an ủi người dùng, nhấn mạnh rằng sự kiện này chỉ liên quan đến hợp đồng ổn định tùy chỉnh (stableswap) được sử dụng bởi yETH, và không liên quan đến thiết kế Vault chính mà Yearn triển khai. Nói cách khác, các Vault V2 và V3 đều không bị ảnh hưởng, các sản phẩm liên quan như yCRV, Katana, Morpho cũng đều duy trì hoạt động bình thường.

Điều may mắn trong cái không may là, yETH không được các giao thức cho vay lớn trên thị trường sử dụng làm tài sản thế chấp, do đó không gây ra thanh lý dây chuyền hay áp lực hệ thống, giúp ảnh hưởng được kiểm soát trong phạm vi tương đối hạn chế.

Đội ngũ an ninh mạng chỉ ra rằng, ngoài một phần tài sản đã được rửa qua Tornado Cash, địa chỉ của kẻ tấn công hiện vẫn giữ khoảng 6 triệu USD chưa di chuyển, có thể vẫn đang quan sát tiến triển điều tra.

Phương pháp tương tự như cuộc tấn công Balancer, điều tra vẫn đang diễn ra.

Đội ngũ Yearn cho biết, độ phức tạp của cuộc tấn công này khá cao, thậm chí có một số đặc điểm tương tự với sự kiện Balancer gần đây, bao gồm tương tác hợp đồng nhiều lớp, logic giao dịch và sự hiểu biết sâu sắc về mô hình định giá đường cong. Chính thức đang tiến hành điều tra toàn diện với nhiều đối tác kiểm toán ChainSecurity để sớm phát hành báo cáo đầy đủ tiếp theo.

(Balancer phản ứng chuỗi? Stream Finance bùng nổ thiệt hại 9300 triệu USD, xUSD mất giá sụp đổ)

Bài viết này cho biết Yearn Finance đã chịu thiệt hại 9 triệu USD do bị tấn công phát hành vô hạn, phương pháp tương tự sự kiện Balancer? Xuất hiện lần đầu trên tin tức chuỗi ABMedia.