A Yearn Finance está lidando com uma nova violação de segurança depois que um invasor explorou seu contrato de token yETH e drenou milhões em ETH e ativos líquidos de apostas dos pools do Balancer.
Resumo
- A exploração teve como alvo um contrato YETH mais antigo, permitindo ao invasor cunhar um suprimento ilimitado de tokens e esvaziar o pool do Balancer.
- Cerca de 1.000 ETH foram transferidos através do Tornado Cash logo após o ataque, com mais ativos ainda mantidos nas carteiras do invasor.
- Yearn confirmou que o problema está isolado de seus Vaults V2 e V3 e está preparando um relatório detalhado sobre o incidente.
O incidente ocorreu na noite de 30 de novembro, quando um invasor desencadeou uma falha infinita dentro do contrato yETH. Eles então cunharam um suprimento impossivelmente grande de yETH, mais de 235 trilhões de tokens, em uma única transação.
Com esses tokens, o invasor passou rapidamente pelos pools do Balancer, removendo ativos reais, incluindo ETH e derivativos de staking populares. Os rastreamentos iniciais mostram cerca de US$ 3 milhões fluindo pelo Tornado Cash logo após a exploração, enquanto o endereço do invasor ainda contém ativos adicionais vinculados ao evento.
Exploração isolada do produto legado yETH
Os dados do Blockchain mostram que o pool de stableswap do yETH foi esvaziado em minutos, deixando um buraco de aproximadamente US$ 2,8 milhões. Yearn Finance (YFI) disse que o problema está dentro de uma implementação mais antiga do yETH e não afeta seus Vaults V2 ou V3. Os protocolos desenvolvidos no Yearn V3, incluindo Katana, também não relataram exposição.
Vários contratos de ajudantes apareceram momentos antes do ataque e desapareceram através de chamadas de autodestruição assim que a piscina foi drenada, tornando a trilha mais difícil de seguir.
As equipes de segurança que analisam as transações, incluindo auditores que rastreiam os produtos mais antigos da Yearn, vincularam o evento a uma fraqueza de cunhagem de longa data dentro da lógica do token yETH, em vez de um problema na atual arquitetura do cofre da Yearn.
O protocolo mantém um programa de recompensas de bugs ao vivo com recompensas que chegam a US$ 200.000 para descobertas críticas, embora nenhum caminho de recuperação tenha sido anunciado ainda.
O movimento na rede se intensifica após a fuga de liquidez
Logo após o colapso do pool, o usuário X Togbo sinalizou vários movimentos de lotes de 100 ETH passando pelo Tornado Cash. Cerca de 1.000 ETH no total foram misturados nas horas seguintes à exploração. O invasor ainda retém ativos adicionais no valor de vários milhões de dólares em diversas carteiras.
O pool yETH transportava cerca de US$ 11 milhões antes da violação e, embora o número final de perdas ainda esteja em revisão, Yearn disse que os fundos dos usuários dentro dos cofres ativos permanecem seguros.
Este incidente se soma ao longo histórico do protocolo de gerenciamento de riscos legados, ocorrendo anos após sua exploração do yDAI em 2021 e uma configuração incorreta do tesouro em 2023 que não afetou os depositantes. YFI caiu cerca de 4% após o evento e foi negociado perto de US$ 4.002 até o momento.
Fontecrypto.news
