Yearn Finance taber $300.000 i en TUSD-vault-udnyttelse

Yearn Finance, en af de førende decentraliserede finansprotokoller (DeFi), har lidt et betydeligt tilbageslag, da dens gamle TUSD-vault blev offer for en sofistikeret exploit.

Ifølge sikkerhedsfirmaet PeckShield lykkedes det angriberne at udvinde cirka 300.000 dollars og omdanne de stjålne aktiver til 103 Ether, som nu opbevares på adressen 0x0F21... 4066.

Bemærkelsesværdigt har hændelsen genantændt bekymringer om sårbarhederne i forældede og uforanderlige smart contracts, som stadig er aktive på Ethereum år efter deres implementering.

Forkert konfigureret TUSD-boks

Ifølge analyse af William Li var bruddet rettet mod et gammelt Yearn TUSD-hvælv, kendt som "iearn TUSD-hvælvingen", som længe var blevet erstattet af nyere versioner.

Forskere identificerede en fejlkonfiguration i boksens strategiopsætning, som brugte en Fulcrum sUSD-boks til beregninger, mens kun sUSD-saldi indskudt i boksen blev taget i betragtning.

Dette fejlbehæftede design skabte en vej for et såkaldt "donationsangreb", som gjorde det muligt for gerningsmændene at manipulere boksens aktiekurs kunstigt.

Angriberne udnyttede denne svaghed med en række flash-lån, hvor de lånte betydelige mængder TUSD og sUSD uden nogen forudgående sikkerhed.

De indsatte sUSD for at præge Fulcrum sUSD-tokens, før de lagde TUSD i boksen.

Fordi boksens aktiekurs ignorerede sUSD-aktiver, forårsagede den efterfølgende rebalanceringsfunktion, som trak alle underliggende sUSD tilbage, boksens regnskabsmålinger til at kollapse.

Dette kunstige "prischok" gjorde det muligt for angriberne at præge store mængder Yearn TUSD-tokens til minimal pris og i sidste ende sælge dem på Curve-puljer, hvor de udtrak værdi fra likviditetsudbydere, før flash-lånene blev tilbagebetalt.

Et mønster af legacy-sårbarheder

Sikkerhedsanalytikere har bemærket, at dette udnyttelsespunkt spejler et lignende angreb i 2023, hvor en forkert konfigureret yUSDT-kontrakt resulterede i tab på over 10 millioner dollars.

Den hændelse skyldtes en copy-paste-fejl, der henviste til den forkerte Fulcrum-kontrakt, hvilket gjorde det muligt for hackere at udvinde hidtil usete mængder yUSDT fra små indledende indbetalinger.

På trods af advarsler fra pessimistiske observatører på sociale medier gjorde smart contracts uforanderlige natur sådanne sårbarheder, når de først blev implementeret.

Yearn TUSD-vault-udnyttelsen føjer sig til en voksende liste af angreb, der retter sig mod gamle, uvedligeholdte DeFi-kontrakter.

En lignende hændelse ramte for nylig Ribbon Finance, tidligere kendt som Aevo, hvor en forældet implementering gjorde det muligt for angribere at manipulere proxy-admin-kontrakter og tømme 2,7 millioner dollars.

Begge begivenheder fremhæver de vedvarende risici forbundet med ældre protokoller, som fortsat holder betydelige midler on-chain længe efter, de er blevet afviklet.

Yearn Finances svar

Som reaktion på hændelsen bekræftede et Yearn-holdmedlem under navnet storming0x, at de nuværende kontrakter stadig er sikre.

Teamet beroligede brugerne med, at kun den forældede V1 TUSD-vault var berørt, og understregede, at nyere implementeringer inddrager erfaringer fra tidligere sårbarheder.

Ikke desto mindre understreger angrebet vigtigheden af aktivt at revidere og afskrive ældre kontrakter for at forhindre, at lignende fejl udnyttes i fremtiden.