Yearn Finance, TUSD kasası istismarında 300K dolar zarar etti

Önde gelen merkeziyetsiz finans (DeFi) protokollerinden biri olan Yearn Finance, eski TUSD kasası gelişmiş bir istismarın kurbanı olarak önemli bir gerileme yaşadı.

Güvenlik firması PeckShield'e göre, saldırganlar yaklaşık 300.000 dolar çıkarmayı başardı ve çalınan varlıkları şu anda adreste tutulan 103 Ether'e dönüştürdüler 0x0F21... 4066.

Özellikle, bu olay, Ethereum'da kullanıma sunulduktan yıllar sonra aktif kalan eski ve değişmez akıllı sözleşmelerin güvenlik açığı konusundaki endişeleri yeniden artırdı.

Yanlış yapılandırılmış TUSD vault

William Li'nin analizine göre, ihlal uzun süredir yeni sürümlerle yerini almış olan "iearn TUSD vault" olarak bilinen eski Yearn TUSD kasasını hedef aldı.

Araştırmacılar, kasayı strateji düzeninde bir yanlış yapılandırma tespit etti; hesaplamalar için Fulcrum sUSD kasası kullanıldı ve sadece kasaya yatırılan sUSD bakiyeleri dikkate alındı.

Bu kusurlu tasarım, "bağış saldırısı" olarak adlandırılan bir yol açtı ve faillerin kasanın hisse fiyatını yapay olarak manipüle etmesine olanak sağladı.

Saldırganlar bu zayıflıktan bir dizi flash kredi ile değerlendirdi; herhangi bir peşin teminat olmadan önemli miktarda TUSD ve sUSD borç aldı.

Fulcrum sUSD tokenlarını basmak için sUSD yatırdılar ve ardından TUSD'yi kasaya koydular.

Kasanın hisse fiyatı sUSD varlıklarını göz ardı ettiği için, tüm temel sUSD'nin çekilmesini sağlayan dengeleme fonksiyonu kasanın muhasebe metriklerinin çökmesine neden oldu.

Bu yapay "fiyat şoku", saldırganların çok sayıda Yearn TUSD tokenı basmasını ve nihayetinde bunları Curve havuzlarında satmalarını, likidite sağlayıcılarından değer çıkarmalarını ve ardından flash kredileri geri ödemelerini sağladı.

Miras kırılganlıklarının bir deseni

Güvenlik analistleri, bu istismarın 2023'te benzer bir saldırıya benzediğini belirtti; o zaman yanlış yapılandırılmış bir yUSDT sözleşmesi 10 milyon doları aşan zararlara yol açtı.

Bu olay, yanlış Fulcrum sözleşmesine atıfta bulunan bir kopyala-yapıştır hatasından kaynaklandı ve bu hata, hackerların küçük ilk mevduatlardan eşi benzeri görülmemiş miktarda yUSDT çıkarmasına olanak tanıdı.

Sosyal medyadaki karamsar gözlemcilerin uyarılarına rağmen, akıllı sözleşmelerin değişmez doğası, bu tür güvenlik açıklıklarını bir kez kullanıldıktan sonra kaçınılmaz hale getirdi.

Yearn TUSD vault exploit, eski ve bakımsız DeFi sözleşmelerini hedef alan artan saldırılar listesine ekleniyor.

Benzer bir olay yakın zamanda Ribbon Finance'i (eski adıyla Aevo) yaşadı; burada eski bir dağıtım saldırganların proxy admin sözleşmelerini manipüle etmesine ve 2,7 milyon dolar harcamasına olanak tanıdı.

Her iki olay da, eski protokollerin devre dışı bırakıldıktan sonra da uzun süre önemli fonları zincirde tutmaya devam eden risklerini vurguluyor.

Yearn Finance'in yanıtı

Olaya yanıt olarak, storming0x kullanıcı adıyla bir Yearn ekip üyesi mevcut sözleşmelerin güvende kaldığını doğruladı.

Ekip, kullanıcılara yalnızca eski V1 TUSD kasasının etkilendiğini temin etti ve yeni dağıtımların geçmiş güvenlik açığından çıkarılan dersleri içerdiğini vurguladı.

Buna rağmen, saldırı, benzer kusurların gelecekte sömürülmesini önlemek için eski sözleşmelerin aktif olarak denetlenip kaldırılmasının önemini vurguluyor.