Yearn Finance pierde 300.000$ într-o exploatare a seifului TUSD

Yearn Finance, unul dintre cele mai importante protocoale de finanțare descentralizată (DeFi), a suferit un eșec semnificativ, deoarece seiful său vechi TUSD a căzut victimă unui exploit sofisticat.

Potrivit firmei de securitate PeckShield, atacatorii au reușit să extragă aproximativ 300.000 de dolari, transformând activele furate în 103 Ether, acum deținute la adresa 0x0F21... 4066.

Notabil, incidentul a reaprins îngrijorările legate de vulnerabilitățile contractelor inteligente învechite și imuabile care rămân active pe Ethereum la ani de la implementarea lor.

Vault TUSD configurat greșit

Conform analizei lui William Li, breșa a vizat un seif vechi Yearn TUSD, cunoscut sub numele de "iearn TUSD vault", care fusese de mult înlocuit de iterații mai noi.

Cercetătorii au identificat o configurare greșită în configurarea strategiei seifului, care folosea un seif Fulcrum sUSD pentru calcule, luând în considerare doar soldurile sUSD depuse în seif.

Acest design defectuos a creat o cale pentru așa-numitul "atac al donațiilor", permițând făptașilor să manipuleze artificial prețul acțiunilor seifului.

Atacatorii au valorificat această slăbiciune printr-o serie de împrumuturi flash, împrumutând sume semnificative de TUSD și sUSD fără nicio garanție inițială.

Au depus sUSD pentru a crea tokenuri Fulcrum sUSD înainte de a plasa TUSD în seif.

Deoarece prețul acțiunilor seifului a ignorat activele sUSD, funcția de reechilibrare ulterioară, care a retras toate sUSD subiacente, a cauzat prăbușirea metricilor contabile ale seifului.

Acest "șoc de preț" artificial le-a permis atacatorilor să minteze cantități uriașe de tokenuri Yearn TUSD la costuri minime și, în cele din urmă, să le vândă pe pool-uri, extragând valoare de la furnizorii de lichiditate înainte de a rambursa împrumuturile flash.

Un tipar de vulnerabilități moștenite

Analiștii de securitate au observat că acest exploit reflectă un atac similar din 2023, când un contract yUSDT configurat greșit a dus la pierderi ce depășesc 10 milioane de dolari.

Acest incident a rezultat dintr-o eroare de tip copy-paste care a făcut referire la contractul greșit Fulcrum, permițând hackerilor să obțină sume fără precedent de yUSDT din depozite inițiale mici.

În ciuda avertismentelor observatorilor pesimiști de pe rețelele sociale, natura imuabilă a contractelor inteligente făcea ca astfel de vulnerabilități să fie inevitabile odată implementate.

Exploatarea seifului Yearn TUSD se adaugă la o listă tot mai mare de atacuri care vizează contracte DeFi vechi, neîntreținute.

Un incident comparabil a lovit recent Ribbon Finance, cunoscut anterior ca Aevo, unde o implementare învechită a permis atacatorilor să manipuleze contractele de administrare proxy și să consume 2,7 milioane de dolari.

Ambele evenimente evidențiază riscurile continue asociate cu protocoalele vechi care continuă să dețină fonduri semnificative pe lanț mult timp după ce au fost deprevăzute.

Răspunsul Yearn Finance

Ca răspuns la incident, un membru al echipei Yearn sub pseudonimul storming0x a confirmat că contractele actuale rămân sigure.

Echipa i-a asigurat pe utilizatori că doar vault-ul V1 TUSD învechit a fost afectat și a subliniat că implementările mai noi încorporează lecțiile învățate din vulnerabilitățile anterioare.

Cu toate acestea, atacul subliniază importanța auditării active și deprecierii contractelor vechi pentru a preveni exploatarea unor defecte similare în viitor.