Yearn Finance sta affrontando una nuova violazione della sicurezza dopo che un attaccante ha sfruttato il contratto del suo token yETH e ha drenato milioni in $ETH e asset di staking liquido dai pool di Balancer.

L'exploit ha preso di mira un contratto yETH più vecchio permettendo all'attaccante di coniare un'offerta illimitata di token e svuotare il pool di Balancer.

Circa 1.000 ETH sono stati trasferiti attraverso Tornado Cash poco dopo l'attacco, con ulteriori asset ancora detenuti nei portafogli dell'attaccante.

Yearn ha confermato che il problema è isolato dai suoi Vault V2 e V3 e sta preparando un rapporto dettagliato sull'incidente.

L'incidente si è sviluppato tardi il 30 novembre quando un attaccante ha attivato un difetto di minting infinito all'interno del contratto yETH. Hanno quindi coniato una fornitura impossibilmente grande di yETH, più di 235 trilioni di token in una singola transazione.

Con quei token, l'attaccante si è mosso rapidamente attraverso i pool di Balancer, rimuovendo beni reali, inclusi ETH e popolari derivati di staking. Le tracce iniziali mostrano circa $3 milioni che scorrono attraverso Tornado Cash poco dopo l'exploit, mentre l'indirizzo dell'attaccante detiene ancora asset aggiuntivi legati all'evento.

L'exploit è stato isolato al prodotto legacy yETH

I dati blockchain mostrano che il pool yETH stableswap è stato svuotato in pochi minuti lasciando un buco di circa $2,8 milioni. Yearn Financeyearn.finance

yfi-3.7%

yearn.finance ha detto che il problema si trova all'interno di un'implementazione più vecchia di yETH e non tocca i suoi Vault V2 o V3. I protocolli costruiti su Yearn V3, incluso Katana, hanno anche riportato nessuna esposizione.

Diversi contratti di aiuto sono apparsi appena prima dell'attacco e sono scomparsi tramite chiamate di autodistruzione una volta che il pool è stato prosciugato, rendendo più difficile seguire la traccia.

I team di sicurezza stanno esaminando le transazioni, inclusi i revisori che monitorano i prodotti più vecchi di Yearn, hanno collegato l'evento a una debolezza nel minting di lunga data all'interno della logica del token yETH, piuttosto che a un problema nell'architettura attuale dei vault di Yearn.

Il protocollo mantiene un programma di ricompensa per bug attivo con premi che raggiungono i $200.000 per scoperte critiche, sebbene non sia ancora stato annunciato alcun percorso di recupero.

Il movimento on-chain si intensifica dopo il prosciugamento della liquidità

Subito dopo il collasso del pool, l'utente X Togbo ha segnalato diversi movimenti di lotti di 100 ETH che passano attraverso Tornado Cash. Circa 1.000 ETH in totale è stato mescolato nelle ore successive all'exploit. L'attaccante detiene ancora asset aggiuntivi per un valore di diversi milioni di dollari attraverso più portafogli.

Il pool yETH conteneva circa $11 milioni prima della violazione, e mentre il numero finale della perdita è ancora in fase di revisione, Yearn ha detto che i fondi degli utenti all'interno dei vault attivi rimangono al sicuro.

Questo incidente si aggiunge al lungo record del protocollo nella gestione dei rischi legacy, arrivando anni dopo il suo exploit yDAI del 2021 e una misconfigurazione del tesoro nel 2023 che non ha colpito i depositanti. YFI è sceso di circa il 4% dopo l'evento e scambiato vicino a $4.002 al momento della pubblicazione.

#CryptoNewss #WriteToEarnUpgrade #Write2Earn #ETH #VenomRana