Yearn Finance perde 300.000$ in un exploit di un vault TUSD

Yearn Finance, uno dei principali protocolli di finanza decentralizzata (DeFi), ha subito una battuta d'arresto significativa poiché il suo arcano TUSD storico è stato vittima di un sofisticato exploit.

Secondo la società di sicurezza PeckShield, gli aggressori sono riusciti a estrarre circa 300.000 dollari, convertendo i beni rubati in 103 Ether ora detenuti all'indirizzo 0x0F21... 4066.

In particolare, l'incidente ha riacceso le preoccupazioni sulle vulnerabilità degli smart contract obsoleti e immutabili che rimangono attivi su Ethereum anni dopo la loro implementazione.

Vault TUSD configurato male

Secondo l'analisi di William Li, la violazione ha preso di mira un vault legacy Yearn TUSD, noto come "iearn TUSD vault", che era stato da tempo superato da nuove iterazioni.

I ricercatori hanno identificato una configurazione errata nella configurazione strategica del vault, che utilizzava un vault Fulcrum sUSD per i calcoli, considerando solo i saldi sUSD depositati nel vault.

Questo design difettoso creò un percorso per un cosiddetto "attacco di donazione", permettendo ai colpevoli di manipolare artificialmente il prezzo delle azioni della cassaforte.

Gli attaccanti hanno sfruttato questa debolezza con una serie di prestiti flash, prendendo in prestito importi significativi di TUSD e sUSD senza alcuna garanzia iniziale.

Hanno depositato sUSD per coniare i token sUSD Fulcrum prima di inserire il TUSD nel vault.

Poiché il prezzo delle azioni del vault ignorava gli asset sUSD, la successiva funzione di ribilanciamento, che prelevava tutti gli sUSD sottostanti, ha causato il crollo delle metriche contabili del vault.

Questo "shock di prezzo" artificiale ha permesso agli attaccanti di coniare enormi quantità di token Yearn TUSD a costi minimi e infine venderli su pool Curve, estraendo valore dai fornitori di liquidità prima di rimborsare i prestiti flash.

Un modello di vulnerabilità legacy

Gli analisti di sicurezza hanno osservato che questo exploit rispecchia un attacco simile del 2023, quando un contratto yUSDT configurato male ha causato perdite superiori a 10 milioni di dollari.

Quell'incidente è nato da un errore di copia-incolla che ha fatto riferimento al contratto Fulcrum sbagliato, permettendo agli hacker di coniare quantità senza precedenti di yUSDT da piccoli depositi iniziali.

Nonostante gli avvertimenti di osservatori pessimisti sui social media, la natura immutabile degli smart contract rendeva tali vulnerabilità inevitabili una volta implementate.

L'exploit del vault TUSD di Yearn si aggiunge a una lista crescente di attacchi rivolti a vecchi contratti DeFi non mantenuti.

Un incidente simile ha recentemente colpito Ribbon Finance, precedentemente nota come Aevo, dove una distribuzione obsoleta ha permesso agli attaccanti di manipolare i contratti di amministratore proxy e di sottrarre 2,7 milioni di dollari.

Entrambi gli eventi evidenziano i rischi persistenti associati ai protocolli legacy che continuano a detenere fondi significativi sulla catena molto tempo dopo la loro deprecatura.

La risposta di Yearn Finance

In risposta all'incidente, un membro del team Yearn sotto il nome storming0x ha confermato che i contratti attuali restano sicuri.

Il team ha rassicurato gli utenti che solo il vault TUSD V1 obsoleto è stato colpito e ha sottolineato che le nuove implementazioni incorporano le lezioni apprese dalle vulnerabilità passate.

Tuttavia, l'attacco sottolinea l'importanza di verificare attivamente e deprecare i contratti legacy per prevenire lo sfruttamento di difetti simili in futuro.