Yearn Finance förlorar 300 000 dollar i en TUSD-valv-exploit

Yearn Finance, ett av de ledande decentraliserade finansprotokollen (DeFi), har drabbats av ett betydande bakslag då dess gamla TUSD-valv föll offer för en sofistikerad exploit.

Enligt säkerhetsföretaget PeckShield lyckades angriparna ta ut cirka 300 000 dollar och omvandla de stulna tillgångarna till 103 Ether som nu förvaras på adressen 0x0F21... 4066.

Incidenten har särskilt återuppväckt oro över sårbarheter i föråldrade och oföränderliga smarta kontrakt som fortfarande är aktiva på Ethereum flera år efter deras lansering.

Felkonfigurerat TUSD-valv

Enligt analys av William Li riktade intrånget sig mot ett äldre Yearn TUSD-valv, känt som "iearn TUSD-valvet", som sedan länge hade ersatts av nyare versioner.

Forskare identifierade en felkonfiguration i valvets strategiuppsättning, som använde ett Fulcrum sUSD-valv för beräkningar samtidigt som endast sUSD-saldon som sattes in i valvet beaktades.

Denna bristfälliga design skapade en väg för en så kallad "donationsattack", som tillät förövarna att konstgjort manipulera valvets aktiekurs.

Angriparna utnyttjade denna svaghet med en serie snabblån, där de lånade betydande mängder TUSD och sUSD utan någon förskottssäkerhet.

De satte in sUSD för att prägla Fulcrum sUSD-tokens innan de placerade TUSD i valvet.

Eftersom valvets aktiekurs ignorerade sUSD-tillgångar orsakade den efterföljande ombalanseringsfunktionen, som tog ut alla underliggande sUSD, till att valvets redovisningsmått kollapsade.

Denna artificiella "prischock" gjorde det möjligt för angriparna att prägla stora mängder Yearn TUSD-tokens till minimal kostnad och slutligen sälja dem på Curve-pooler, vilket utvann värde från likviditetsleverantörer innan flash-lånen betalades tillbaka.

Ett mönster av legacy-sårbarheter

Säkerhetsanalytiker har noterat att denna exploatering speglar en liknande attack 2023, då ett felkonfigurerat yUSDT-kontrakt resulterade i förluster på över 10 miljoner dollar.

Den incidenten berodde på ett kopieringsfel som hänvisade till fel Fulcrum-kontrakt, vilket gjorde det möjligt för hackare att prägla aldrig tidigare skådade mängder yUSDT från små initiala insättningar.

Trots varningar från pessimistiska observatörer på sociala medier gjorde smarta kontrakts oföränderliga natur sådana sårbarheter oundvikliga när de väl implementerades.

Yearn TUSD-valve-exploiten läggs till en växande lista av attacker riktade mot gamla, icke underhållna DeFi-kontrakt.

En liknande incident drabbade nyligen Ribbon Finance, tidigare känt som Aevo, där en föråldrad distribution gjorde det möjligt för angripare att manipulera proxy-adminkontrakt och dränera 2,7 miljoner dollar.

Båda händelserna belyser de pågående riskerna med äldre protokoll som fortsätter att hålla betydande medel på kedjan långt efter att de avvecklats.

Yearn Finances svar

Som svar på incidenten bekräftade en Yearn-teammedlem under namnet storming0x att de nuvarande kontrakten fortfarande är säkra.

Teamet försäkrade användarna om att endast det föråldrade V1 TUSD-valvet påverkades och betonade att nyare implementeringar bygger på lärdomar från tidigare sårbarheter.

Trots detta understryker attacken vikten av att aktivt granska och avgränsa äldre kontrakt för att förhindra att liknande brister utnyttjas i framtiden.