Yearn Finance tappioi 300 000 dollaria TUSD-holvin hyväksikäytöksessä

Yearn Finance, yksi johtavista hajautetun rahoituksen (DeFi) protokollista, on kokenut merkittävän takaiskun, kun sen perinteinen TUSD-holvi on joutunut kehittyneen hyväksikäytön uhriksi.

Tietoturvayritys PeckShieldin mukaan hyökkääjät onnistuivat saamaan noin 300 000 dollaria, muuntaen varastetut omaisuuserät 103 Etheriksi, joka on nyt osoitteessa 0x0F21... 4066.

Merkittävästi tapaus on herättänyt uudelleen huolta vanhentuneiden ja muuttumattomien älysopimusten haavoittuvuuksista, jotka ovat edelleen aktiivisia Ethereumissa vuosia käyttöönoton jälkeen.

Väärin konfiguroitu TUSD-holvi

William Lin analyysin mukaan murto kohdistui vanhaan Yearn TUSD -holviin, joka tunnetaan nimellä "iearn TUSD vault", joka oli jo kauan sitten korvattu uudemmilla versioilla.

Tutkijat havaitsivat holvin strategiakokoonpanossa virheen, jossa laskelmissa käytettiin Fulcrum sUSD -holvia, mutta huomioitiin vain holviin talletettuja sUSD-saldoja.

Tämä virheellinen suunnittelu loi reitin niin sanotulle "lahjoitushyökkäykselle", jonka tekijät pystyivät keinotekoisesti manipuloimaan holvin osakekurssia.

Hyökkääjät hyödynsivät tätä heikkoutta sarjalla flash-lainoja, lainaten merkittäviä määriä TUSD:tä ja sUSD:tä ilman etukäteisvakuuksia.

He tallettivat sUSD:n lyömään Fulcrum sUSD -tokeneita ennen kuin sijoittivat TUSD:n holviin.

Koska holvin osakekurssi sivuutti sUSD-varat, myöhempi tasapainotustoiminto, joka nosti kaikki taustalla olevat sUSD:t, aiheutti holvin kirjanpitomittareiden romahtamisen.

Tämä keinotekoinen "hintashokki" antoi hyökkääjille mahdollisuuden lyödä valtavia määriä Yearn TUSD -tokeneita mahdollisimman vähäisin kustannuksin ja lopulta myydä ne Curve-pooleissa, saaden arvoa likviditeettipalveluntarjoajilta ennen flash-lainojen takaisinmaksua.

Perintöhaavoittuvuuksien kaava

Tietoturva-analyytikot ovat todenneet, että tämä haavoittuvuus heijastaa samankaltaista hyökkäystä vuonna 2023, jolloin väärin konfiguroitu yUSDT-sopimus johti yli 10 miljoonan dollarin tappioihin.

Tämä tapaus sai alkunsa kopioi-ja-liitä -virheestä, jossa viitattiin väärään Fulcrum-sopimukseen, mikä antoi hakkereille mahdollisuuden lyödä ennennäkemättömiä määriä yUSDT:tä pienistä alkuperäisistä talletuksista.

Huolimatta pessimististen tarkkailijoiden varoituksista sosiaalisessa mediassa, älysopimusten muuttumattomuus teki tällaisista haavoittuvuuksista väistämättömiä käyttöönoton jälkeen.

Yearn TUSD -holvin haavoittuvuus lisää kasvavaa listaan hyökkäyksiä, jotka kohdistuvat vanhoihin, ylläpitämättömiin DeFi-sopimuksiin.

Vastaava tapaus kohtasi äskettäin Ribbon Financen, entisen Aevon, jossa vanhentunut käyttöönotto mahdollisti hyökkääjien manipuloida välityspalvelin ylläpitäjäsopimuksia ja kuluttaa 2,7 miljoonaa dollaria.

Molemmat tapahtumat korostavat jatkuvia riskejä, jotka liittyvät perinteisiin protokolliin, jotka pitävät merkittäviä varoja ketjussa pitkään sen jälkeen, kun ne on poistettu käytöstä.

Yearn Financen vastaus

Vastauksena tapaukseen Yearnin tiimin jäsen storming0x:n nimellä vahvisti, että nykyiset sopimukset pysyvät turvattuina.

Tiimi vakuutti käyttäjille, että vain vanhentunut V1 TUSD -holvi kärsi ja korosti, että uudemmat käyttöönotot sisältävät menneistä haavoittuvuuksista opittuja oppeja.

Siitä huolimatta hyökkäys korostaa vanhojen sopimusten aktiivisen tarkastuksen ja vanhentamisen tärkeyttä, jotta vastaavien puutteiden hyväksikäyttö voidaan estää tulevaisuudessa.