Yearn Finance подвергся атаке $9M после того, как злоумышленник напечатал неограниченное количество yETH Токенов

Источник: ETHNews Оригинальное название: Yearn Finance подвергся атаке $9M после того, как злоумышленник выпустил неограниченное количество токенов yETH Исходная ссылка: https://www.ethnews.com/yearn-finance-hit-by-9m-exploit-after-attacker-mints-unlimited-yeth-tokens/ Yearn Finance подвергся серьезному нарушению безопасности после того, как злоумышленник смог создать практически неограниченное количество токенов yETH, воспользовавшись уязвимостью, которая в итоге вывела из протокола около $9 миллионов.

Инцидент стал одним из самых разрушительных эксплойтов Yearn за последние годы и сразу же возобновил опасения по поводу рисков смарт-контрактов в устаревшей инфраструктуре DeFi.

Первичный анализ от исследователей блокчейна показывает, что злоумышленник нацелился на уязвимость внутри одного из старых контрактов хранилищ Yearn, манипулируя внутренним учетом системы для создания среды “бесконечного чеканки”.

В 21:11 UTC 30 ноября произошел инцидент, связанный с пулом yETH стейблсвап, который привел к созданию большого количества yETH. Затронутый контракт является кастомной версией популярного кода стейблсвап, не связанной с другими продуктами Yearn. Вулты Yearn V2/V3 не подвержены риску.

Создавая огромное количество синтетического yETH практически без затрат, злоумышленник смог обменять токены на реальные активы и откачать стоимость через несколько ликвидных пулов, прежде чем аномальные потоки были обнаружены.

Команда Yearn быстро приостановила затронутые компоненты и начала внутреннее расследование, в то время как исследователи безопасности работали над отслеживанием пути украденных средств. Хотя уязвимость была ограничена конкретным устаревшим контрактом и не затронула новые хранилища, это событие возобновило обсуждения внутри сообщества DeFi о долгосрочном обслуживании старых систем смарт-контрактов, которые все еще имеют значительную ликвидность.

Рынок отреагировал немедленно, активы, связанные с Yearn, испытали волатильность, поскольку трейдеры оценивали, представляет ли эксплойт системные риски. Разработчики подчеркнули, что средства пользователей в активных, обновленных хранилищах остаются в безопасности, но признали, что восстановление украденных активов будет зависеть от переговоров с нападающим или сотрудничества между биржами и инструментами принуждения на блокчейне.

Эксплуатация Yearn Finance служит напоминанием о том, что даже устоявшиеся DeFi-протоколы остаются уязвимыми к сложным атакам, если старый код не подвергается постоянному аудиту, обновлению и замене. В то время как расследования продолжаются, сообщество теперь ожидает подробного посмертного отчета, который изложит техническую причину, меры по исправлению и путь протокола к восстановлению доверия после нарушения в $9 миллионов.