Yearn Finance tiếp tục gặp phải sự cố bảo mật mới tại nhóm thanh khoản yETH

Rủi ro bảo mật nghiêm trọng tại Yearn Finance yETH Pool

Yearn Finance, giao thức lợi suất phi tập trung, lại vừa gặp phải một sự cố bảo mật. Đã phát hiện hoạt động giao dịch bất thường tại pool thanh khoản yETH, với lượng lớn Liquid Staking Tokens (LSTs) bị rút chỉ trong thời gian ngắn. Là pool chủ lực tổng hợp các LST hàng đầu, yETH pool giữ vai trò trọng tâm trong giao thức Yearn. Sự cố này khiến thị trường đặc biệt lo ngại.

Cách thức tấn công: Giả mạo minting và rút sạch pool tức thì

Dữ liệu on-chain cho thấy kẻ tấn công triển khai loạt hợp đồng tùy chỉnh để đúc số lượng yETH token không giới hạn chỉ với một giao dịch. Sử dụng các token này, đối tượng đã đổi lấy toàn bộ tài sản LST trong pool, khiến pool bị rút sạch chỉ trong vài giây. Thiệt hại ước tính lên tới vài triệu USD.

Sau vụ tấn công, khoảng 1.000 ETH (tương đương khoảng 3 triệu USD) đã nhanh chóng chuyển vào Tornado Cash, gây khó khăn cho việc truy vết dòng tiền. Nhiều hợp đồng tấn công tự hủy sau khi hoàn thành, cho thấy kế hoạch được chuẩn bị kỹ lưỡng và trình độ kỹ thuật cao.

Ước tính thiệt hại chờ xác nhận chính thức

Trước khi sự cố xảy ra, pool yETH nắm giữ khoảng 11 triệu USD tài sản. Tuy nhiên, con số thiệt hại thực tế cần xác nhận từ Yearn Finance và các nhóm bảo mật blockchain, do một phần ETH có thể đã bị tiêu thụ hoặc không thể truy vết trong quá trình khai thác lỗ hổng.

Nhà phân tích on-chain Togbe là người đầu tiên phát hiện vụ tấn công, nhận diện dấu hiệu bất thường khi theo dõi các giao dịch lớn và đưa sự việc ra ánh sáng.

Phản hồi chính thức và bối cảnh lịch sử

(Nguồn: yearnfi)

Yearn Finance thông báo trên X rằng họ đang tích cực điều tra sự việc. Đội ngũ khẳng định các Vault V2 và V3 không bị ảnh hưởng. Trước đó, giao thức này đã gặp nhiều sự cố về bảo mật và kỹ thuật:

• 2021: Lỗ hổng Vault yDAI gây thiệt hại khoảng 11 triệu USD.
• 2022: Nhà sáng lập Andre Cronje tuyên bố rời dự án.
• Cuối 2023: Lỗi kịch bản tự động làm giảm 63% tài sản kho bạc, nhưng quỹ người dùng không bị ảnh hưởng.

Đội ngũ Yearn vẫn chưa công bố thêm thông tin về quá trình điều tra. Thị trường vẫn đang chờ đợi các cập nhật tiếp theo.

Để tìm hiểu thêm về Web3, đăng ký tại đây: https://www.gate.com/

Tóm tắt

Sự cố này cho thấy ngay cả các giao thức DeFi lâu đời với cộng đồng vững mạnh và lịch sử kiểm toán vẫn tiềm ẩn rủi ro từ lỗ hổng logic hợp đồng, tương tác đa hợp đồng và thiết kế quản trị. Yearn Finance cần tập trung không chỉ vào khắc phục lỗ hổng mà còn phải phục hồi niềm tin thị trường. Hệ sinh thái DeFi rộng lớn hơn được nhắc nhở rằng kiểm toán bảo mật, hệ thống giám sát và bảo trì liên tục là yếu tố then chốt cho sự ổn định lâu dài. Dù đổi mới thúc đẩy DeFi phát triển, việc cân bằng giữa tốc độ và bảo mật sẽ quyết định tuổi thọ và thành công của lĩnh vực này.