Yearn Finance verliest $300.000 door een TUSD-kluisexploit

Yearn Finance, een van de toonaangevende gedecentraliseerde financiën (DeFi) protocollen, heeft een aanzienlijke tegenslag geleden doordat de oude TUSD-kluis het slachtoffer werd van een geavanceerde exploit.

Volgens beveiligingsbedrijf PeckShield wisten de aanvallers ongeveer $300.000 te bemachtigen, waarbij de gestolen bezittingen werden omgezet in 103 Ether die nu op het adres 0x0F21... 4066.

Opmerkelijk is dat het incident de zorgen heeft aangewakkerd over de kwetsbaarheden van verouderde en onveranderlijke smart contracts die nog jaren na hun uitrol actief zijn op Ethereum .

Verkeerd geconfigureerde TUSD-vault

Volgens analyse van William Li was de inbreuk gericht op een legacy Yearn TUSD-kluis, bekend als de "iearn TUSD-kluis," die al lang was vervangen door nieuwere versies.

Onderzoekers ontdekten een verkeerde configuratie in de strategie-opstelling van de kluis, waarbij een Fulcrum sUSD-kluis werd gebruikt voor berekeningen terwijl alleen sUSD-saldi in de kluis werd gestort.

Dit gebrekkige ontwerp creëerde een pad voor een zogenaamde "donatie-aanval", waardoor de daders kunstmatig de aandelenkoers van de kluis konden manipuleren.

De aanvallers benutten deze zwakte met een reeks flash leningen, waarbij ze aanzienlijke hoeveelheden TUSD en sUSD lenden zonder enige voorafgaande onderpand.

Ze deden sUSD om Fulcrum sUSD-tokens te minten voordat ze TUSD in de kluis plaatsten.

Omdat de aandelenkoers van de vault de sUSD-activa negeerde, veroorzaakte de daaropvolgende herbalanceringsfunctie, waarbij alle onderliggende sUSD werden teruggetrokken, dat de boekhoudkundige metrics van de vault instortten.

Deze kunstmatige "prijsschok" stelde de aanvallers in staat om enorme hoeveelheden Yearn TUSD-tokens tegen minimale kosten te slaan en deze uiteindelijk te verkopen via Curvepools, waarbij waarde werd gehaald bij liquiditeitsaanbieders voordat de flashleningen werden terugbetaald.

Een patroon van legacy-kwetsbaarheden

Beveiligingsanalisten hebben opgemerkt dat deze exploit een vergelijkbare aanval uit 2023 weerspiegelt, toen een verkeerd geconfigureerd yUSDT-contract leidde tot verliezen van meer dan $10 miljoen.

Dat incident was het gevolg van een kopieer-en-plakfout die verwees naar het verkeerde Fulcrum-contract, waardoor hackers ongekende hoeveelheden yUSDT konden slaan uit kleine initiële deposito's.

Ondanks waarschuwingen van pessimistische waarnemers op sociale media, maakte de onveranderlijke aard van smart contracts zulke kwetsbaarheden onvermijdelijk zodra ze eenmaal werden ingezet.

De Yearn TUSD-vault-exploit voegt zich bij een groeiende lijst van aanvallen gericht op oude, niet onderhouden DeFi-contracten.

Een vergelijkbaar incident trof onlangs Ribbon Finance, voorheen bekend als Aevo, waar een verouderde implementatie aanvallers in staat stelde proxy-admincontracten te manipuleren en 2,7 miljoen dollar te onttrekken.

Beide gebeurtenissen benadrukken de voortdurende risico's die gepaard gaan met verouderde protocollen die nog steeds aanzienlijke fondsen on-chain houden lang nadat ze zijn afgeschaft.

De reactie van Yearn Finance

Als reactie op het incident bevestigde een Yearn-teamlid onder de naam storming0x dat de huidige contracten veilig blijven.

Het team stelde gebruikers gerust dat alleen de verouderde V1 TUSD-vault werd getroffen en benadrukte dat nieuwere implementaties lessen uit eerdere kwetsbaarheden verwerken.

Desalniettemin benadrukt de aanval het belang van het actief auditen en deprecaten van oude contracten om te voorkomen dat vergelijkbare gebreken in de toekomst worden uitgebuit.