Yearn Finance verliert 300.000 $ durch einen TUSD-Tresor-Exploit

Yearn Finance, eines der führenden dezentralisierten Finanzprotokolle (DeFi), hat einen erheblichen Rückschlag erlitten, da sein altes TUSD-Tresor einem ausgeklügelten Exploit zum Opfer fiel.

Laut der Sicherheitsfirma PeckShield gelang es den Angreifern, etwa 300.000 Dollar zu beschaffen und die gestohlenen Vermögenswerte in 103 Ether umzuwandeln, die sich jetzt an der Adresse 0x0F21... 4066.

Bemerkenswert ist, dass der Vorfall Bedenken hinsichtlich der Schwachstellen veralteter und unveränderlicher Smart Contracts neu entfacht hat, die noch Jahre nach ihrer Einführung auf Ethereum aktiv sind.

Falsch konfigurierter TUSD-Tresor

Laut einer Analyse von William Li richtete sich die Verletzung gegen einen alten Yearn TUSD-Tresor, bekannt als "iearn TUSD Vault", der längst von neueren Versionen abgelöst worden war.

Forscher identifizierten eine Fehlkonfiguration im Strategie-Setup des Tresors, der einen Fulcrum sUSD-Tresor für Berechnungen verwendete, während nur die in den Tresor eingezahlten sUSD-Salden berücksichtigt wurden.

Dieses fehlerhafte Design schuf einen Weg für einen sogenannten "Spendenangriff", der es den Tätern ermöglichte, den Aktienkurs des Tresors künstlich zu manipulieren.

Die Angreifer nutzten diese Schwäche mit einer Reihe von Flash-Krediten aus, indem sie erhebliche Mengen an TUSD und SUSD ohne jegliche Voraussicherheit aufnahmen.

Sie haben SUSD eingezahlt, um Fulcrum SUSD-Token zu prägen, bevor sie TUSD in den Tresor gelegt haben.

Da der Aktienkurs des Tresors die sUSD-Vermögenswerte ignorierte, führte die anschließende Rebalancing-Funktion, die alle zugrunde liegenden USD abhob, dazu, dass die Buchhaltungskennzahlen des Tresors zusammenbrachen.

Dieser künstliche "Preisschock" ermöglichte es den Angreifern, riesige Mengen an Yearn TUSD-Token zu minimalen Kosten zu prägen und sie letztlich über Curve-Pools zu verkaufen, wodurch Liquiditätsanbieter Werte abzogen, bevor die Flash-Darlehen zurückgezahlt wurden.

Ein Muster von Legacy-Schwachstellen

Sicherheitsanalysten haben festgestellt, dass dieser Exploit einem ähnlichen Angriff aus dem Jahr 2023 ähnelt, als ein falsch konfigurierter yUSDT-Vertrag zu Verlusten von über 10 Millionen Dollar führte.

Dieser Vorfall resultierte aus einem Kopierfehler, der auf den falschen Fulcrum-Vertrag verweist, wodurch Hacker beispiellose Mengen an yUSDT aus kleinen Anfangseinzahlungen prägen konnten.

Trotz Warnungen pessimistischer Beobachter in den sozialen Medien machte die unveränderliche Natur von Smart Contracts solche Schwachstellen unvermeidbar, sobald sie eingesetzt wurden.

Der Yearn TUSD-Tresor-Exploit ergänzt eine wachsende Liste von Angriffen, die sich gegen alte, nicht gepflegten DeFi-Verträge richten.

Ein ähnlicher Vorfall ereignete sich kürzlich bei Ribbon Finance, früher bekannt als Aevo, wo eine veraltete Bereitstellung es Angreifern ermöglichte, Proxy-Admin-Verträge zu manipulieren und 2,7 Millionen Dollar abzuziehen.

Beide Ereignisse heben die anhaltenden Risiken hervor, die mit alten Protokollen verbunden sind, die auch lange nach ihrer Veraltung weiterhin bedeutende Mittel in der Kette halten.

Reaktion von Yearn Finance

Als Reaktion auf den Vorfall bestätigte ein Yearn-Teammitglied unter dem Namen storming0x, dass die aktuellen Verträge weiterhin sicher sind.

Das Team beruhigte die Nutzer, dass nur der veraltete V1 TUSD-Tresor betroffen sei, und betonte, dass neuere Bereitstellungen Lehren aus früheren Schwachstellen einbeziehen.

Dennoch unterstreicht der Angriff die Bedeutung einer aktiven Prüfung und Wertung älterer Verträge, um die Ausnutzung ähnlicher Mängel in Zukunft zu verhindern.