Yearn Finance traci 300 tys. dolarów na exploitie skarbca TUSD

Yearn Finance, jeden z czołowych protokołów decentralizowanych finansów (DeFi), poniósł poważny cios, gdy jego dziedziczny skarbiec TUSD padł ofiarą zaawansowanego exploita.

Według firmy ochroniarskiej PeckShield, napastnikom udało się wydobyć około 300 000 dolarów, przekształcając skradzione aktywa w 103 Ether, obecnie przechowywane pod adresem 0x0F21... 4066.

Co istotne, incydent ten ponownie wzbudził obawy dotyczące luk przestarzałych i niezmiennych smart kontraktów, które pozostają aktywne na Ethereum lata po ich wdrożeniu.

Nieprawidłowo skonfigurowany skarbiec TUSD

Według analizy Williama Li, naruszenie było wymierzone w dziedziczny skarbiec Yearn TUSD, znany jako "iearn TUSD vault", który od dawna został zastąpiony przez nowsze wersje.

Badacze zidentyfikowali błędną konfigurację w strategii skarbca, który wykorzystywał skarbiec Fulcrum sUSD do obliczeń, uwzględniając jedynie salda sUSD wpłacone do skarbca.

Ten wadliwy projekt stworzył ścieżkę do tzw. "ataku darowizny", pozwalając sprawcom sztucznie manipulować ceną akcji skarbca.

Atakujący wykorzystali tę słabość, oferując serię pożyczek błyskawicznych, zaciągając znaczne ilości TUSD i sUSD bez żadnego zabezpieczenia z góry.

Wpłacili sUSD do wybicia tokenów Fulcrum sUSD przed umieszczeniem TUSD w skarbcu.

Ponieważ cena akcji skarbca ignorowała aktywa w sUSD, funkcja rebalansowania, która wycofała wszystkie bazowe sUSD, spowodowała załamanie się wskaźników księgowych skarbca.

Ten sztuczny "szok cenowy" pozwolił atakującym wybić ogromne ilości tokenów Yearn TUSD przy minimalnych kosztach i ostatecznie sprzedać je na pulach Curve, wyciągając wartość od dostawców płynności przed spłatą pożyczek błyskawicznych.

Wzorzec podatności dziedziczonych

Analitycy bezpieczeństwa zauważyli, że ten exploit odzwierciedla podobny atak z 2023 roku, kiedy źle skonfigurowany kontrakt yUSDT spowodował straty przekraczające 10 milionów dolarów.

Ten incydent wynikał z błędu kopiowania i wklejania dotyczącego niewłaściwego kontraktu Fulcrum, co pozwoliło hakerom wybić bezprecedensowe ilości yUSDT z małych początkowych depozytów.

Pomimo ostrzeżeń pesymistycznych obserwatorów w mediach społecznościowych, niezmienny charakter smart kontraktów sprawiał, że takie podatności stały się nieuniknione po ich wdrożeniu.

Exploit skarbca TUSD Yearn powiększa rosnącą listę ataków wymierzonych w stare, nieutrzymywane kontrakty DeFi.

Podobny incydent niedawno dotknął Ribbon Finance, wcześniej znane jako Aevo, gdzie przestarzałe wdrożenie pozwoliło atakującym manipulować kontraktami administratora proxy i wyczerpać 2,7 miliona dolarów.

Oba wydarzenia podkreślają ciągłe ryzyka związane z protokołami przestarzałymi, które nadal utrzymują znaczne środki na łańcuchu długo po ich wycofaniu.

Odpowiedź Yearn Finance

W odpowiedzi na incydent członek zespołu Yearn o pseudonimie storming0x potwierdził, że obecne kontrakty pozostają bezpieczne.

Zespół zapewnił użytkowników, że dotknięty był jedynie przestarzały skarbiec TUSD V1 i podkreślił, że nowsze wdrożenia opierają się na wnioskach z wcześniejszych luk.

Niemniej jednak atak podkreśla znaczenie aktywnego audytu i wycofywania się kontraktów z przeszłości, aby zapobiec wykorzystywaniu podobnych wad w przyszłości.