Yearn Finance tekrar saldırıya uğradı, yETH havuzunun 300 bin USD değerinde ETH'si Tornado Cash'e aktarıldı.

Merkezi Olmayan Finans (DeFi) bilinen kazanç protokolü Yearn Finance'a ait yETH sıvı kazıklama Token havuzu saldırıya uğradı. Saldırgan, yETH'nin sonsuz bir şekilde artırılması yoluyla fon havuzunu boşalttı ve yaklaşık 300 milyon dolar değerinde ETH kazandı ve bunu Tornado Cash karıştırıcısına aktardı. Bu olay, yETH havuzunun büyük kayıplar yaşamasına neden oldu; havuz, saldırıdan önce yaklaşık 1100 milyon dolar değerindeydi. Yearn yetkilileri, olayın araştırıldığını doğruladı ve Yearn Vaults'un etkilenmediğini vurguladı. Bu, Yearn'ın 2021'deki yDAI zafiyet olayından sonraki bir başka güvenlik krizi.

Saldırı Olayının Tam Analizi

Blockchain verileri, 14 Aralık'ta Yearn Finance'ın yETH sıvı kazıklama Token havuzunun titizlikle planlanmış bir saldırıya uğradığını gösteriyor. Saldırgan, sözleşme açığını kullanarak neredeyse sınırsız miktarda yETH basımını gerçekleştirdi ve tek bir işlemde tüm fon havuzunu boşalttı. yETH, çeşitli popüler sıvı kazıklama Token'larını birleştiren endeks Token'ı olarak tasarlanmıştır ve kullanıcılarına tek noktadan Ethereum Stake geliri çözümü sunmayı amaçlamaktadır; ancak bu açık, ürünün temel mekanizmasını doğrudan tehdit etmektedir.

Saldırı sürecinde, saldırganlar saldırı akışını gerçekleştirmek için birden fazla yeni akıllı sözleşme dağıttı, bazı sözleşmeler işlem tamamlandıktan sonra hemen kendini yok etti. Bu tür bir hareket tarzı, saldırı izlerini örtbas etme ve iz sürmeyi zorlaştırma amacını açıkça taşımaktadır. Sonunda, saldırgan 1000 adet ETH'yi (o zamanki fiyatla yaklaşık 3 milyon dolar) Tornado Cash karıştırma protokolüne aktardı; bu eylem, fon akışının izlenebilirliğini daha da kesmiştir.

Bu saldırı ilk olarak X platformu kullanıcısı Togbe tarafından keşfedildi ve büyük miktarda transferleri izlerken anormal faaliyetler fark etti. Togbe, medyaya “Net transfer verileri, yETH süper basım özelliğinin saldırganların fon havuzunu boşaltmasına ve yaklaşık 1000 ETH kar elde etmesine neden olduğunu gösteriyor. Saldırı sırasında bazı ETH'lerin feda edilmesine rağmen, saldırgan yine de kâr elde etti.” dedi. Bu keşif, toplumu bu güvenlik olayına dikkat etmeleri için zamanında uyardı.

saldırı kritik zaman noktası

• Açık Sömürüsü: Saldırgan, yetkisiz süper basım fonksiyonu aracılığıyla yETH'yi sonsuz bir şekilde artırıyor.
• Fon çekimi: Tek işlem ile yETH havuzunu boşaltma, değeri yaklaşık 11 milyon dolar
• Fon transferi: 1000 adet ETH (yaklaşık 3 milyon dolar) Tornado Cash'e aktarıldı
• İzlerin gizlenmesi: Bazı saldırı sözleşmeleri kendini yok ediyor, soruşturma zorluğunu artırıyor.

Teknik Açık Mekanizmasının Derin Analizi

Teknik açıdan analiz edildiğinde, bu saldırının temel açığı yETH sözleşmesinin madencilik yetkilendirme kontrolündeki eksikliktir. Saldırganlar, normal madencilik kısıtlamalarını aşmanın bir yolunu bulmuş gibi görünüyor ve “süper madencilik” işlevini tetiklemişlerdir; bu mekanizma, katı koşullar altında devreye girmesi gereken bir mekanizmadır ancak yetkisiz kişiler tarafından beklenmedik bir şekilde erişilmiştir. Likidite Stake token endeksi, karmaşık bir token ekonomik tasarımını içermektedir ve herhangi bir yetki açığı felaket sonuçlara yol açabilir.

Saldırgan tarafından kullanılan yeni dağıtım sözleşmesi ve kendi kendini imha etme modu, profesyonel bilgisayar korsanlarının tipik işlem özelliklerini gösterir. Saldırgan tek seferlik bir sözleşme kullanarak, yalnızca saldırı mantığını etkili bir şekilde gizlemekle kalmaz, aynı zamanda olaydan sonra adli tıpın zorluğunu da büyük ölçüde artırır. Blockchain güvenlik uzmanları, bu taktiğin, dahili kod sızıntılarının veya uzun vadeli gizli araştırmaların sonucu olabilecek Yearn'in sözleşme mimarisinin derinlemesine anlaşılmasını gerektirdiğine dikkat çekiyor.

Dikkate değer olan, yETH'nin çeşitli sıvı kazıklama token'larının bir toplayıcısı olarak, fiyat istikrarının temel varlıkların doğru bir şekilde sabitlenmesine bağlı olduğudur. Saldırganlar yETH'yi sonsuz bir şekilde artırdıklarında, havuz içindeki varlıklar büyük ölçüde diğer yüksek likidite token'larına dönüştürülür ve sonunda ETH'ye çevrilip çekilir. Bu saldırı yolu, endeks token'larının tasarımındaki tek noktalı arıza riskini ortaya koymaktadır; yani, ana madeni para işlevi bir kez kırıldığında, tüm ekonomik model hızla çöker.

Yearn Güvenlik Tarihçesi ve Acil Durum Yanıtı

Yearn Finance olaydan sonra hızlı bir şekilde X platformu üzerinden resmi bir açıklama yaptı: “yETH LST stabil değişim havuzunu ilgilendiren olayı araştırıyoruz, Yearn Vaults (V2 ve V3 versiyonları dahil) etkilenmedi.” Bu hızlı yanıt, topluluk duygusunu istikrara kavuşturmaya yardımcı olur, ancak kayıpları hemen geri kazanamaz. Ekip şu anda sözleşme kodunu kapsamlı bir şekilde gözden geçiriyor ve güvenlik açığının temel nedenini değerlendiriyor.

Yearn'ın güvenlik geçmişine bakıldığında, bu protokolün büyük bir açıkla karşılaştığı ilk durum değil. 2021'de, Yearn'ın yDAI hazinesi saldırıya uğradı ve 11 milyon dolar değerinde kayba neden oldu; saldırgan nihayetinde 2.8 milyon dolar kazanç sağladı. 2023 Aralık ayında ise, Yearn, bir betik hatası nedeniyle hazine içindeki bir pozisyonda %63 kayıp yaşadı; neyse ki o sırada kullanıcı fonları etkilenmedi. Bu ardışık güvenlik olayları, Yearn'ın kod kalitesine dair soru işaretleri doğurdu.

Daha dikkat çekici olan, Yearn kurucusu Andre Cronje'nin projeyi başlattıktan iki yıl sonra takımdan ayrılması ve bu ayrılışın protokolün güvenli geliştirme yol haritasını etkileyip etkilemeyeceğinin toplulukta tartışma konusu haline gelmesidir. Yearn'in sonraki geliştirme ekibi protokolü aktif bir şekilde korumaya devam etse de, kurucunun ayrılması şüphesiz projenin teknik gelişim yönü üzerinde derin bir etki yaratmıştır. Şu anda, Yearn ekibi belirli bir tazminat planı veya güvenlik açığı düzeltme zaman çizelgesi açıklamamıştır.

Merkezi Olmayan Finans güvenlik ekosistemi ve kullanıcı koruma önerileri

Bu yETH saldırı olayı, Merkezi Olmayan Finans alanının karşılaştığı güvenlik zorluklarını bir kez daha öne çıkardı. Blockchain güvenlik kuruluşlarının istatistiklerine göre, 2024 yılının ilk yarısında Merkezi Olmayan Finans alanında açıklar ve saldırılar nedeniyle yaşanan kayıplar 400 milyon doları aşmıştır. Bu kayıpların başlıca saldırı vektörlerini sözleşme mantık hataları ve yetki kontrolündeki eksiklikler oluşturmuştur. Sıvı kazıklama türev ürünleri, yeni bir alan olarak karmaşık ürün yapılarıyla hackerların hedefi olma konusunda daha fazla risk taşımaktadır.

Sıradan DeFi kullanıcıları için bu olay, önemli risk yönetimi ipuçları sunmaktadır. Benzer endeks token veya agregat ürünlere katılırken, projenin güvenlik denetim durumunu tam olarak anlamalı, özellikle de ana madeni para mintleme ve geri alma işlevlerinin yetki ayarlarına dikkat etmelidir. Aynı zamanda, dağınık yatırım, tek bir protokol riskini azaltmanın etkili bir stratejisi olmaya devam etmektedir, belirli bir protokol veya ürüne aşırı maruz kalmaktan kaçınılmalıdır.

Sektör açısından bakıldığında, bu saldırı DeFi sigorta ürünlerinin gelişimini hızlandırabilir. Nexus Mutual gibi sigorta protokolleri, çeşitli DeFi ürünlerine kapsam sağlamaya başlamıştır ve kurumsal düzeyde saklama çözümleri de akıllı sözleşme açıkları için sigorta hizmetlerini keşfetmektedir. Düzenleyici çerçevelerin giderek netleşmesiyle, DeFi projelerinin güvenlik standartlarının gönüllü denetimden zorunlu sertifikasyona geçmesi beklenmektedir ve bu, kullanıcılara daha kapsamlı bir koruma sağlamaktadır.

Merkezi Olmayan Finans endüstrisinde alarm sürekli çalıyor

Yearn Finance yETH havuzunun saldırıya uğraması olayı, yalnızca karmaşık Merkezi Olmayan Finans ürünlerinin kod güvenliği açısından zayıflığını ortaya çıkarmakla kalmadı, aynı zamanda sıvı kazıklama türevlerinin sürdürülebilirliği hakkında derin bir düşünceyi tetikledi. Ethereum'un hisse kanıtına geçişini tamamladığında, sıvı kazıklama alanı yenilik ve riskin bir arada bulunduğu bir deney alanı haline geldi ve bu 3 milyon dolarlık kayıp, sektöre bir kez daha hatırlatıyor: Getiri optimizasyonu peşinde koşarken, temel güvenlik altyapısı göz ardı edilmemelidir.

Soruşturma devam ederken, Yearn ekibi yalnızca teknik onarım zorluklarıyla değil, aynı zamanda topluluk güvenini yeniden inşa etme uzun vadeli göreviyle de karşı karşıya kalıyor. Tüm Merkezi Olmayan Finans ekosistemi için bu olay, standart güvenlik denetim süreçlerini ve güvenlik açığı ödül programlarını geliştirmek için önemli bir fırsat haline gelebilir; yalnızca toplu çabalarla güvenlik eşiğini yükselterek daha dayanıklı bir merkeziyetsiz finans altyapısı inşa edebiliriz.