Yearn Finance taper 300 000 dollar i en TUSD-vault-utnyttelse

Yearn Finance, en av de ledende desentraliserte finans-protokollene (DeFi), har lidd et betydelig tilbakeslag da deres gamle TUSD-hvelv ble offer for en sofistikert exploit.

Ifølge sikkerhetsfirmaet PeckShield klarte angriperne å hente ut omtrent 300 000 dollar, og konverterte de stjålne eiendelene til 103 Ether som nå oppbevares på adressen 0x0F21... 4066.

Hendelsen har bemerkelsesverdig gjenopplivet bekymringer om sårbarhetene til utdaterte og uforanderlige smarte kontrakter som fortsatt er aktive på Ethereum flere år etter at de ble tatt i bruk.

Feilkonfigurert TUSD-hvelv

Ifølge analyse av William Li rettet bruddet seg mot et gammelt Yearn TUSD-hvelv, kjent som «iearn TUSD-hvelvet», som lenge hadde blitt erstattet av nyere versjoner.

Forskerne identifiserte en feilkonfigurasjon i hvelvets strategioppsett, som brukte et Fulcrum sUSD-hvelv for beregninger, samtidig som kun sUSD-saldoer ble satt inn i hvelvet.

Dette feilaktige designet skapte en vei for et såkalt «donasjonsangrep», som tillot gjerningspersonene å kunstig manipulere hvelvets aksjekurs.

Angriperne utnyttet denne svakheten med en rekke flash-lån, og lånte betydelige mengder TUSD og sUSD uten noen forhåndssikkerhet.

De satte inn sUSD for å prege Fulcrum sUSD-tokens før de plasserte TUSD i hvelvet.

Fordi hvelvets aksjekurs ignorerte sUSD-eiendeler, førte den påfølgende rebalanseringsfunksjonen, som trakk ut all underliggende sUSD, til at hvelvets regnskapsmålinger kollapset.

Dette kunstige "prissjokket" gjorde det mulig for angriperne å prege store mengder Yearn TUSD-tokens til minimal kostnad og til slutt selge dem på Curve-pooler, hvor de hentet verdi fra likviditetsleverandører før de tilbakebetalte flash-lånene.

Et mønster av legacy-sårbarheter

Sikkerhetsanalytikere har bemerket at denne utnyttelsen speiler et lignende angrep i 2023, da en feilkonfigurert yUSDT-kontrakt resulterte i tap på over 10 millioner dollar.

Den hendelsen skyldtes en kopi-og-lim-feil som refererte til feil Fulcrum-kontrakt, noe som gjorde det mulig for hackere å prege enestående mengder yUSDT fra små innledende innskudd.

Til tross for advarsler fra pessimistiske observatører på sosiale medier, gjorde den uforanderlige naturen til smarte kontrakter slike sårbarheter uunngåelige når de først ble tatt i bruk.

Utnyttelsen av Yearn TUSD-hvelvet legger seg til en økende liste over angrep rettet mot gamle, ikke-vedlikeholdte DeFi-kontrakter.

En lignende hendelse rammet nylig Ribbon Finance, tidligere kjent som Aevo, hvor en utdatert utrulling tillot angripere å manipulere proxy-admin-kontrakter og tømme 2,7 millioner dollar.

Begge hendelsene fremhever de pågående risikoene knyttet til eldre protokoller som fortsatt holder betydelige midler på kjeden lenge etter at de er avviklet.

Yearn Finances svar

Som svar på hendelsen bekreftet et Yearn-teammedlem under navnet storming0x at de nåværende kontraktene fortsatt er sikre.

Teamet beroliget brukerne med at kun det utdaterte V1 TUSD-hvelvet var berørt, og understreket at nyere utrullinger inkluderer lærdommer fra tidligere sårbarheter.

Likevel understreker angrepet viktigheten av å aktivt revidere og avskrive eldre kontrakter for å forhindre at lignende feil utnyttes i fremtiden.