Ó protocolo de finanças descentralizadas (DeFi) Yearn Finance sofreu uma grave violação de segurança, resultando em uma perda de aproximadamente US$ 9 milhões. De acordo com informações, o ataque ocorreu em um pool associado ao yETH, token que faz parte do protocolo.
Hackers tiveram acesso ao pool de swap herança estável associada ao yETH, obtida de forma ilegítima. Com isso eles puderam criar um número infinito de tokens e drenar a liquidez do protocolo.
UM empresa de segurança blockchain Peckshield foi a primeira a alertar sobre o incidente. Na noite de domingo (30), a empresa anunciou o ataque em sua conta no X.O Yearn Finance confirmou o ataque duas horas depois e disse que a ação afetou apenas os pools de liquidez. Os cofres do protocolo, segundo a equipe, permanecem intactos.
Falha em contrato possibilitou roubo
De acordo com o PeckShield, o caçador explorou uma vulnerabilidade crítica no contrato do token yETHque permitiu a criação de novos yETH sem a necessidade de garantias adequadas. Ou seja, os invasores poderiam emitir tokens infinitamente e sem dar contrapartidas.
Em seguida, os hackers conseguiram drenar a liquidez de um pool fora dos principais produtos de cofres da Yearn. A equipe do protocolo afirmou que eles drenaram US$ 8 milhões do pool em si e mais US$ 900 mil em tokens até o momento. O ataque também afetou outras piscinas localizadas na plataforma Curve.
O alvo do ataque foi um contrato personalizado projetado para agregar derivativos Ethereum em staking, como stETH e rETH. Após o ataque, os responsáveislavaram mais de US$ 3 milhões em roubos de ETH através do Tornado Cash.
Enquanto isso, os US$ 6 milhões restantes em diversos ativos Ethereum em staking permaneceram em seus endereços de carteira (0xa80d…c822), de acordo com as últimas varreduras do blockchain.
O Yearn Finance também confirmou uma invasão em seu servidor. Após o ataque, o protocolo fez uma parceria com a organização Security Alliance (SEAL) para investigar como o roubo aconteceu. Eles afirmaram que os resultados dos auditorias serão divulgados ao público.
Para os usuários impactados, a equipe orientou abrir uma chamada de suporte no Discord do projeto e buscar orientações.
Investigação inicial
As primeiras conclusões sugerem que o incidente apresenta um nível de complexidade técnica semelhante ao recente ataque à exchange descentralizada Balanceador. O ataque ocorreu na sexta-feira (28/11) e descobriu na perda de US$ 128 milhões em fundos. A DEX recuperou apenas US$ 8 milhões, mas já anunciou um plano para devolver os fundos perdidos pelos clientes.
Quanto ao ataque contra o Yearn Finance, Analistas on-chain rastrearam o incidente no Balancer até uma falha de precisão na aritmética de ponto fixo inteiramente usado para calcular os fatores de escala em Piscinas estáveis combináveis (CSPs). Acredita-se que a mesma estratégia foi utilizada no ataque contra o protocolo.
Posteriormente, a SlowMist parece que uma falha ocorreu discrepâncias de preços sutis, porém repetidas, durante as trocasprincipalmente quando os atacantes executaram múltiplas operações em uma única transação usando a função de troca em lote.
Enquanto isso, o incidente no Yearn ocorre logo após a exchange coreana Upbit sofre sua própria falha de segurança, que resultou na perda de US$ 50 milhões em Ethereum (ETH).
Fontecriptofacil
