Yearn Finance atingido por exploit yETH com $3M enviados para Tornado Cash
Yearn Finance está lidando com uma nova violação de segurança depois que um atacante explorou seu contrato de token yETH e drenou milhões em ETH e ativos de staking líquidos das pools do Balancer.
- A exploração visou um contrato yETH mais antigo, permitindo ao atacante criar um suprimento ilimitado de tokens e esvaziar a pool do Balancer.
- Cerca de 1.000 ETH foram movidos através do Tornado Cash logo após o ataque, com mais ativos ainda mantidos nas carteiras do atacante.
- Yearn confirmou que o problema está isolado de seus Vaults V2 e V3 e está preparando um relatório detalhado sobre o incidente.
O incidente se desenrolou no final de 30 de novembro quando um atacante acionou uma falha de criação infinita dentro do contrato yETH. Eles então criaram um suprimento impossivelmente grande de yETH, mais de 235 trilhões de tokens, em uma única transação.
Com esses tokens, o atacante moveu-se rapidamente através das pools do Balancer, removendo ativos reais, incluindo ETH e derivativos populares de staking. Os rastreamentos iniciais mostram cerca de $3 milhões fluindo através do Tornado Cash logo após a exploração, enquanto o endereço do atacante ainda mantém ativos adicionais ligados ao evento.
Exploração isolada ao produto yETH legado
Os dados da blockchain mostram que a pool de stableswap yETH foi esvaziada em minutos, deixando um buraco de aproximadamente $2,8 milhões. Yearn Finance(YFI) disse que o problema está dentro de uma implementação mais antiga do yETH e não afeta seus Vaults V2 ou V3. Protocolos construídos no Yearn V3, incluindo Katana, também relataram não ter exposição.
Vários contratos auxiliares apareceram momentos antes do ataque e desapareceram através de chamadas de autodestruição assim que a pool foi drenada, tornando o rastro mais difícil de seguir.
Equipes de segurança revisando as transações, incluindo auditores rastreando produtos mais antigos do Yearn, ligaram o evento a uma fraqueza de criação de longa data dentro da lógica do token yETH, em vez de um problema na arquitetura atual de vault do Yearn.
O protocolo mantém um programa ativo de recompensa por bugs com prêmios chegando a $200.000 para descobertas críticas, embora nenhum caminho de recuperação tenha sido anunciado ainda.
Movimento on-chain se intensifica após drenagem de liquidez
Logo após o colapso da pool, o usuário do X Togbo sinalizou vários movimentos de lotes de 100 ETH passando pelo Tornado Cash. Cerca de 1.000 ETH no total foram misturados nas horas seguintes à exploração. O atacante ainda mantém ativos adicionais no valor de vários milhões de dólares em várias carteiras.
A pool yETH carregava aproximadamente $11 milhões antes da violação, e enquanto o número final de perdas ainda está sob revisão, Yearn disse que os fundos dos usuários dentro dos vaults ativos permanecem seguros.
Este incidente se soma ao longo histórico do protocolo de gerenciamento de riscos legados, vindo anos após sua exploração yDAI de 2021 e uma configuração incorreta do tesouro em 2023 que não afetou os depositantes. YFI caiu cerca de 4% após o evento e era negociado perto de $4.002 no momento da publicação.
Você também pode gostar
Prazo de candidatura para enfermeiros e cuidadores JPEPA adiado para 24 de abril
Iraque procura reativar oleoduto através da Arábia Saudita
