A Yearn Finance perde $300K em um exploit de cofre TUSD

A Yearn Finance, um dos principais protocolos de finanças descentralizadas (DeFi), sofreu um revés significativo quando seu antigo vault TUSD foi vítima de uma exploração sofisticada.

Segundo a empresa de segurança PeckShield, os atacantes conseguiram extrair aproximadamente $300.000, convertendo os bens roubados em 103 Ether agora mantidos no endereço 0x0F21... 4066.

Notavelmente, o incidente reacendeu preocupações sobre as vulnerabilidades de contratos inteligentes obsoletos e imutáveis que permanecem ativos no Ethereum anos após sua implantação.

Vault TUSD configurado incorretamente

Segundo análise de William Li, a violação tinha como alvo um cofre antigo do Yearn TUSD, conhecido como "iearn TUSD vault", que há muito havia sido substituído por versões mais recentes.

Pesquisadores identificaram uma configuração incorreta na configuração estratégica do cofre, que usava um cofre Fulcrum sUSD para cálculos, considerando apenas os saldos sUSD depositados no cofre.

Esse design falho criou um caminho para um chamado "ataque de doação", permitindo que os responsáveis manipulassem artificialmente o preço das ações do cofre.

Os atacantes aproveitaram essa fraqueza com uma série de empréstimos rápidos, tomando empréstimos significativos de TUSD e sUSD sem nenhuma garantia inicial.

Eles depositaram sUSD para cunhar tokens Fulcrum sUSD antes de colocar o TUSD no cofre.

Como o preço das ações do cofre ignorou os ativos do sUSD, a função de rebalanceamento subsequente, que retirou todo o sUSD subjacente, causou o colapso das métricas contábeis do cofre.

Esse "choque de preço" artificial permitiu que os atacantes cunhassem grandes quantidades de tokens Yearn TUSD a custo mínimo e, por fim, os vendessem em pools Curve, extraindo valor dos provedores de liquidez antes de pagar os empréstimos flash.

Um padrão de vulnerabilidades legadas

Analistas de valores de segurança observaram que essa exploração espelha um ataque semelhante em 2023, quando um contrato yUSDT mal configurado resultou em perdas superiores a 10 milhões de dólares.

Esse incidente decorreu de um erro de copiar e colar que fez referência ao contrato errado da Fulcrum, permitindo que hackers cunhassem quantias sem precedentes de yUSDT a partir de pequenos depósitos iniciais.

Apesar dos alertas de observadores pessimistas nas redes sociais, a natureza imutável dos contratos inteligentes tornou essas vulnerabilidades inevitáveis uma vez implantadas.

A exploração do cofre TUSD do Yearn se soma a uma lista crescente de ataques que visam contratos DeFi antigos e não mantidos.

Um incidente comparável atingiu recentemente a Ribbon Finance, anteriormente conhecida como Aevo, onde uma implantação desatualizada permitiu que atacantes manipulassem contratos de administrador proxy e drenassem US$ 2,7 milhões.

Ambos os eventos destacam os riscos contínuos associados a protocolos legados que continuam a manter fundos significativos na cadeia muito depois de terem sido obsoletos.

Resposta da Yearn Finance

Em resposta ao incidente, um membro da equipe da Yearn sob o nome storming0x confirmou que os contratos atuais continuam seguros.

A equipe tranquilizou os usuários dizendo que apenas o vault V1 TUSD desatualizado foi afetado e enfatizou que as implantações mais recentes incorporam lições aprendidas com vulnerabilidades passadas.

No entanto, o ataque ressalta a importância de auditar e desvalorizar ativamente contratos antigos para evitar a exploração de falhas semelhantes no futuro.