Yearn Financeが$9M のエクスプロイトに襲われ、攻撃者が無限のyETHトークンをミントする

ソース: ETHNews オリジナルタイトル：Yearn Financeが$9M の攻撃を受け、攻撃者が無限のyETHトークンをミント オリジナルリンク: https://www.ethnews.com/yearn-finance-hit-by-9m-exploit-after-attacker-mints-unlimited-yeth-tokens/ Yearn Financeは、攻撃者がyETHトークンの無限供給を発行することに成功し、最終的にプロトコルから$9 百万が流出するという欠陥を悪用した後、深刻なセキュリティ侵害を受けました。

この事件は、最近のYearsの最も破壊的な攻略の一つを示しており、レガシーDeFiインフラにおけるスマートコントラクトリスクに関する懸念を即座に再燃させました。

オンチェーン調査者による初期分析では、攻撃者がYearnの古いボールト契約の1つにある脆弱性を標的にし、システムの内部会計を操作して「無限ミント」環境を作り出したことが示されています。

11月30日 21:11 UTC に、yETH ステーブルスワッププールに関連するインシデントが発生し、大量の yETH がミントされました。影響を受けた契約は、他の Yearn 製品とは無関係な人気のステーブルスワップコードのカスタムバージョンです。Yearn V2/V3 ボールトはリスクにさらされていません。

ほぼコストゼロで大量の合成yETHを生成することで、悪用者はトークンを実際の資産にスワップし、異常なフローが検出される前に複数の流動性プールを通じて価値を吸い上げることができました。

Yearnチームは、影響を受けたコンポーネントを迅速に一時停止し、内部調査を開始しました。一方で、セキュリティ研究者たちは盗まれた資金の流れを追跡する作業を行いました。このエクスプロイトは特定のレガシーコントラクトに限定され、新しいボールトには影響を与えませんでしたが、この出来事は、まだ意味のある流動性を保持している古いスマートコントラクトシステムの長期的な維持について、DeFiコミュニティ内での議論を再燃させました。

市場の反応は即座に現れ、Yearn関連の資産はトレーダーがその脆弱性がシステムリスクをもたらすかどうかを評価する中でボラティリティを経験しました。開発者は、アクティブで最新のボールトにあるユーザー資金は安全であると強調しましたが、盗まれた資産の回収は攻撃者との交渉や取引所間の協力、オンチェーン執行ツールに依存することを認めました。

Yearn Financeの攻撃は、確立されたDeFiプロトコルであっても、古いコードが継続的に監査され、アップグレードされ、段階的に廃止されない限り、高度な攻撃に対して脆弱であることを思い出させるものです。調査が続く中、コミュニティは現在、技術的根本原因、パッチ措置、および$9 万の侵害後に信頼を回復するためのプロトコルの道筋を概説する詳細な事後報告を待っています。