Yearn Finance kehilangan $300K dalam eksploitasi peti besi TUSD

Yearn Finance, salah satu protokol kewangan terdesentralisasi (DeFi) terkemuka, telah mengalami kemunduran yang ketara apabila peti besi TUSD warisannya menjadi mangsa eksploitasi yang canggih.

Menurut firma keselamatan PeckShield, penyerang berjaya mengeluarkan kira-kira $300,000, menukar aset yang dicuri kepada 103 Ether yang kini disimpan di alamat 0x0F21... 4066.

Terutama, insiden itu telah menghidupkan semula kebimbangan tentang kelemahan kontrak pintar yang lapuk dan tidak berubah yang kekal aktif pada Ethereum bertahun-tahun selepas penggunaannya.

Peti besi TUSD yang salah konfigurasi

Menurut analisis oleh William Li, pelanggaran itu menyasarkan peti besi Yearn TUSD warisan, yang dikenali sebagai "peti besi TUSD iearn," yang telah lama digantikan oleh lelaran yang lebih baharu.

Penyelidik mengenal pasti salah konfigurasi dalam persediaan strategi peti besi, yang menggunakan peti besi sUSD Fulcrum untuk pengiraan sambil mempertimbangkan hanya baki sUSD yang didepositkan ke dalam peti besi.

Reka bentuk yang cacat ini mencipta laluan untuk apa yang dipanggil "serangan derma", membolehkan pelaku memanipulasi harga saham peti besi secara buatan.

Penyerang memanfaatkan kelemahan ini dengan satu siri pinjaman kilat, meminjam sejumlah besar TUSD dan sUSD tanpa sebarang cagaran pendahuluan.

Mereka mendepositkan sUSD untuk mencetak token sUSD Fulcrum sebelum meletakkan TUSD ke dalam peti besi.

Oleh kerana harga saham peti besi mengabaikan aset sUSD, fungsi pengimbangan semula seterusnya, yang menarik balik semua sUSD asas, menyebabkan metrik perakaunan peti besi runtuh.

"Kejutan harga" buatan ini membolehkan penyerang mencetak sejumlah besar token Yearn TUSD pada kos yang minimum dan akhirnya menjualnya pada kumpulan Curve, mengekstrak nilai daripada pembekal kecairan sebelum membayar balik pinjaman kilat.

Corak kelemahan legasi

Penganalisis keselamatan telah menyatakan bahawa eksploitasi ini mencerminkan serangan serupa pada tahun 2023, apabila kontrak yUSDT yang salah konfigurasi mengakibatkan kerugian melebihi $10 juta.

Kejadian itu berpunca daripada ralat salin dan tampal yang merujuk kepada kontrak Fulcrum yang salah, membolehkan penggodam mencetak jumlah yUSDT yang belum pernah berlaku sebelum ini daripada deposit awal yang kecil.

Walaupun amaran daripada pemerhati pesimis di media sosial, sifat kontrak pintar yang tidak berubah menjadikan kelemahan sedemikian tidak dapat dielakkan sebaik sahaja digunakan.

Eksploitasi peti besi Yearn TUSD menambah senarai serangan yang semakin meningkat yang menyasarkan kontrak DeFi lama yang tidak diselenggara.

Insiden yang setanding baru-baru ini melanda Ribbon Finance, yang dahulunya dikenali sebagai Aevo, di mana penggunaan lapuk membolehkan penyerang memanipulasi kontrak pentadbir proksi dan mengalirkan $2.7 juta.

Kedua-dua acara menyerlahkan risiko berterusan yang berkaitan dengan protokol warisan yang terus memegang dana besar dalam rantaian lama selepas ia ditamatkan.

Respons Yearn Finance

Sebagai tindak balas kepada kejadian itu, ahli pasukan Yearn di bawah pemegang storming0x mengesahkan bahawa kontrak semasa kekal selamat.

Pasukan itu meyakinkan pengguna bahawa hanya peti besi V1 TUSD yang lapuk terjejas dan menekankan bahawa penggunaan yang lebih baharu menggabungkan pengajaran yang dipelajari daripada kelemahan masa lalu.

Namun begitu, serangan itu menekankan kepentingan mengaudit secara aktif dan menamatkan kontrak warisan untuk mengelakkan eksploitasi kelemahan serupa pada masa hadapan.