Yearn Finance touché par une exploitation de yETH avec 3 M$ envoyés à Tornado Cash
Yearn Finance fait face à une nouvelle faille de sécurité après qu'un attaquant a exploité son contrat de token yETH et vidé des millions en ETH et en actifs de staking liquides des pools Balancer.
- L'exploit visait un ancien contrat yETH, permettant à l'attaquant de créer une offre illimitée de tokens et de vider le pool Balancer.
- Environ 1 000 ETH ont transité par Tornado Cash peu après l'attaque, avec davantage d'actifs toujours détenus dans les portefeuilles de l'attaquant.
- Yearn a confirmé que le problème est isolé de ses Vaults V2 et V3 et prépare un rapport détaillé sur l'incident.
L'incident s'est déroulé tard le 30 novembre lorsqu'un attaquant a déclenché une faille de création infinie dans le contrat yETH. Il a ensuite créé une quantité impossiblement grande de yETH, plus de 235 billions de tokens, en une seule transaction.
Avec ces tokens, l'attaquant s'est rapidement déplacé à travers les pools Balancer, retirant des actifs réels, y compris ETH et des dérivés de staking populaires. Les premières traces montrent près de 3 millions de dollars transitant par Tornado Cash peu après l'exploit, tandis que l'adresse de l'attaquant détient toujours des actifs supplémentaires liés à l'événement.
Exploit isolé au produit yETH hérité
Les données de la blockchain montrent que le pool stableswap yETH a été vidé en quelques minutes, laissant un trou d'environ 2,8 millions de dollars. Yearn Finance(YFI) a déclaré que le problème se situe dans une ancienne implémentation de yETH et n'affecte pas ses Vaults V2 ou V3. Les protocoles construits sur Yearn V3, y compris Katana, ont également signalé ne pas être exposés.
Plusieurs contrats auxiliaires sont apparus juste avant l'attaque et ont disparu via des appels d'autodestruction une fois le pool vidé, rendant la piste plus difficile à suivre.
Les équipes de sécurité examinant les transactions, y compris les auditeurs suivant les anciens produits de Yearn, ont lié l'événement à une faiblesse de création de longue date dans la logique du token yETH, plutôt qu'à un problème dans l'architecture actuelle des coffres de Yearn.
Le protocole maintient un programme de primes aux bugs en direct avec des récompenses atteignant 200 000 $ pour les découvertes critiques, bien qu'aucun chemin de récupération n'ait encore été annoncé.
Le mouvement on-chain s'intensifie après le drainage de liquidité
Peu après l'effondrement du pool, l'utilisateur X Togbo a signalé plusieurs mouvements de lots de 100 ETH passant par Tornado Cash. Environ 1 000 ETH au total ont été mélangés dans les heures suivant l'exploit. L'attaquant conserve toujours des actifs supplémentaires d'une valeur de plusieurs millions de dollars répartis sur plusieurs portefeuilles.
Le pool yETH contenait environ 11 millions de dollars avant la brèche, et bien que le montant final des pertes soit toujours en cours d'examen, Yearn a déclaré que les fonds des utilisateurs dans les coffres actifs restent en sécurité.
Cet incident s'ajoute au long historique du protocole en matière de gestion des risques hérités, survenant des années après son exploit yDAI de 2021 et une mauvaise configuration du trésor en 2023 qui n'a pas affecté les déposants. YFI a glissé d'environ 4% après l'événement et se négociait près de 4 002 $ au moment de la publication.
Vous aimerez peut-être aussi
TD Cowen soutient la stratégie Ethereum de Sharplink tout en révisant à la baisse les perspectives pour la stratégie d'achat de Bitcoin
Aucun changement de consensus nécessaire : le CPO de Starkware construit des transactions Bitcoin résistantes aux quantiques à partir des règles existantes – Actualités Bitcoin en vedette
