Yearn Finance perd 300K $ dans un exploit du coffre TUSD

Yearn Finance, l’un des principaux protocoles de finance décentralisée (DeFi), a subi un revers important lorsque son ancien coffre TUSD a été victime d’une exploitation sophistiquée.

Selon la société de sécurité PeckShield, les assaillants ont réussi à extraire environ 300 000 dollars, convertissant les biens volés en 103 Ether désormais détenus à l’adresse 0x0F21... 4066.

Notamment, cet incident a ravivé les inquiétudes concernant les vulnérabilités des smart contracts obsolètes et immuables qui restent actifs sur Ethereum des années après leur déploiement.

Vault TUSD mal configuré

Selon l’analyse de William Li, la faille visait un ancien coffre Yearn TUSD, connu sous le nom de « iearn TUSD vault », qui avait depuis longtemps été supplanté par des versions plus récentes.

Les chercheurs ont identifié une mauvaise configuration dans la configuration stratégique du coffre, qui utilisait un coffre sUSD Fulcrum pour les calculs tout en ne considérant que les soldes sUSD déposés dans le coffre.

Ce design défaillant a ouvert la voie à une soi-disant « attaque de dons », permettant aux auteurs de manipuler artificiellement le cours de l’action du coffre.

Les attaquants ont tiré parti de cette faiblesse avec une série de prêts éclairs, empruntant des montants importants de TUSD et de sUSD sans aucune garantie initiale.

Ils ont déposé des sUSD pour frapper des jetons Fulcrum sUSD avant de placer le TUSD dans le coffre-fort.

Parce que le cours de l’action du coffre ignorait les actifs sUSD, la fonction de rééquilibrage qui a suivi, qui a retiré tous les sUSD sous-jacents, a provoqué l’effondrement des indicateurs comptables du coffre.

Ce « choc de prix » artificiel a permis aux attaquants de frapper d’énormes quantités de jetons Yearn TUSD à un coût minimal et de finalement les vendre sur des pools Curve, extrayant de la valeur des fournisseurs de liquidité avant de rembourser les prêts flash.

Un schéma de vulnérabilités héritées

Les analystes de la sécurité ont noté que cet exploit reflète une attaque similaire en 2023, lorsqu’un contrat yUSDT mal configuré a entraîné des pertes dépassant 10 millions de dollars.

Cet incident est né d’une erreur de copier-coller faisant référence au mauvais contrat Fulcrum, permettant aux hackers de frapper des quantités sans précédent de yUSDT à partir de petits dépôts initiaux.

Malgré les avertissements des observateurs pessimistes sur les réseaux sociaux, la nature immuable des contrats intelligents rendait ces vulnérabilités inévitables une fois déployées.

L’exploit du coffre TUSD de Yearn s’ajoute à une liste croissante d’attaques visant d’anciens contrats DeFi non maintenus.

Un incident comparable a récemment frappé Ribbon Finance, anciennement connu sous le nom d’Aevo, où un déploiement obsolète a permis aux attaquants de manipuler les contrats d’administration par procuration et de drainer 2,7 millions de dollars.

Ces deux événements mettent en lumière les risques persistants associés aux protocoles hérités qui continuent de détenir des fonds importants sur la chaîne bien après leur dépréciation.

La réponse de Yearn Finance

En réponse à l’incident, un membre de l’équipe Yearn sous le pseudonyme storming0x a confirmé que les contrats actuels restent sécurisés.

L’équipe a rassuré les utilisateurs en affirmant que seul le coffre-fort V1 TUSD obsolète était affecté et a souligné que les nouveaux déploiements intègrent les leçons tirées des vulnérabilités passées.

Néanmoins, cette attaque souligne l’importance d’auditer activement et de déroger les contrats hérités afin d’éviter l’exploitation de défauts similaires à l’avenir.