هک جدید در Yearn Finance
پروتکل Yearn Finance بار دیگر با یک رخنه امنیتی مواجه شده است؛ جایی که مهاجم با سوءاستفاده از قرارداد توکن yETH توانست میلیون ها دلار ETH و دارایی های مرتبط با استیکینگ را از استخرهای Balancer خارج کند.
نقص بی نهایت مینت؛ آغاز حمله در چند ثانیه
این حمله شامگاه ۳۰ نوامبر آغاز شد؛ زمانی که مهاجم یک ایراد infinite-mint را در قرارداد yETH فعال کرد. او تنها در یک تراکنش، رقمی غیرقابل تصور شامل بیش از ۲۳۵ تریلیون yETH ضرب کرد.
مهاجم با این حجم از توکن های جعلی، خیلی سریع وارد استخرهای Balancer شد و دارایی های واقعی از جمله ETH و مشتقات محبوب استیکینگ را خارج کرد. ردیابی های اولیه نشان می دهد نزدیک به ۳ میلیون دلار از این وجوه ساعتی بعد از طریق Tornado Cash شسته شده است، در حالی که موجودی کیف پول مهاجم همچنان دارایی های بیشتری را در خود نگه می دارد.
آسیب محدود به نسخه قدیمی yETH
داده های آنچین نشان می دهد استخر yETH stableswap در عرض چند دقیقه کاملاً تخلیه شده و حدود ۲.۸ میلیون دلار از بین رفته است. Yearn Finance اعلام کرد که مشکل تنها مربوط به نسخه قدیمی yETH بوده و هیچ یک از Vaultهای V2 یا V3 تحت تأثیر قرار نگرفته اند. پروتکل های وابسته به Yearn V3 مانند Katana نیز گزارش داده اند که در معرض این حمله نبوده اند.
چند قرارداد کمکی لحظاتی پیش از حمله ایجاد شده و پس از تخلیه استخر با دستور self-destruct حذف شده اند و پیگیری مسیر حمله را دشوار کرده اند.
تیم های امنیتی و حسابرسان محصولات قدیمی Yearn Finance این رخداد را به یک نقص قدیمی در منطق مینت توکن yETH نسبت داده اند؛ نه یک مشکل در معماری فعلی Vaultهای Yearn.
Yearn Finance همچنان یک برنامه Bug Bounty فعال دارد که برای کشف آسیب پذیری های بحرانی تا ۲۰۰ هزار دلار پاداش می دهد؛ اما هنوز مسیر بازیابی دارایی ها مشخص نشده است.
افزایش فعالیت های آنچین پس از تخلیه استخر
به دنبال فروپاشی استخر، کاربری در X با نام Togbo انتقال چند بسته ۱۰۰ ETH را گزارش کرد که از طریق Tornado Cash انجام شده بود. در مجموع، حدود ۱۰۰۰ ETH طی ساعات بعد از حمله میکس شده است. مهاجم همچنان چندین میلیون دلار دارایی در کیف پول های مختلف خود نگه می دارد.
استخر yETH پیش از این حمله تقریبا ۱۱ میلیون دلار نقدینگی داشت و با اینکه بررسی خسارت نهایی ادامه دارد، Yearn Finance اعلام کرده دارایی کاربران در vaultهای فعال کاملاً ایمن بوده است.
این حادثه جدید، بخش دیگری به سابقه طولانی Yearn Finance در مدیریت ریسک های قدیمی اضافه می کند؛ پس از حمله معروف yDAI در سال ۲۰۲۱ و اشتباه پیکربندی خزانه در سال ۲۰۲۳ که البته به سپرده گذاران آسیبی نزد. قیمت YFI نیز پس از این رخداد حدود ۴ درصد افت کرد و به نزدیکی ۴٬۰۰۲ دلار رسید.
بیشتر بخوانید: هک 36 میلیون دلاری در Upbit؛ توقف واریز و برداشت
[…] بیشتر بخوانید: هک yETH در Yearn Finance؛ 3 میلیون دلار ناپدید شد […]