شركة Yearn Finance تخسر 9 ملايين دولار أمريكي في استغلال المعاملة الفردية لـ yETH Vault
يقول PeckShield إن المتسللين قاموا بسك عدد غير محدود من YETH، واستنزفوا مجموعة مخصصة من stETH/rETH، وقاموا بغسل أكثر من 3 ملايين دولار من ETH من خلال Tornado Cash.
تعرضت شركة Yearn Finance لخرق أمني كبير، مما أدى إلى خسارة ما يقرب من 9 ملايين دولار.
استهدف الاستغلال مجموعة مبادلة قديمة ومستقرة مرتبطة برمز yETH الخاص بالبروتوكول والذي سمح للمتسللين بسك عدد لا نهائي من العملات المعدنية.
خطأ في عقد yETH
وكانت شركة أمان بلوكتشين Peckshield أول من أبلغ عن الحادث عبر X، قائلة: “تعرضت شركة Yearn Finance لهجوم أدى إلى خسارة إجمالية قدرها حوالي ٩ ملايين دولار”.
وفقًا للمحللين، استغل المهاجم ثغرة أمنية خطيرة في عقد yETH الذي سمح له بصك yETH جديدة دون نشر ضمانات كافية، مما أدى إلى تضخيم عرض الرمز المميز بشكل فعال حسب الرغبة. تم بعد ذلك استخدام هذه الثغرة لتصريف السيولة من مجموعة خارج منتجات الخزنة الأساسية لشركة Yearn.
كان الهدف من هذا الاستغلال هو عقد مصمم خصيصًا لتجميع مشتقات إيثريوم المرهونة مثل stETH وrETH. أشار البروتوكول لاحقًا إلى أن تجمع yUSND وخزائن Nerite ظلت آمنة ولم تتأثر بفشل البروتوكول. بعد الهجوم، قام المسؤولون عن ذلك بغسل أكثر من 3 ملايين دولار من عملة ETH المسروقة من خلال Tornado Cash. وفي الوقت نفسه، تظل الـ 6 ملايين دولار المتبقية من أصول Ethereum المختلفة في عنوان محفظتهم (0xa80d…c822) اعتبارًا من أحدث عمليات فحص blockchain.
وأكدت ييرن أيضًا التسوية على X. وأفادت بخسارة 0.9 مليون دولار من مجمع yETH-WETH المستقر على Curve، بينما تم استنزاف مبلغ إضافي قدره 8 ملايين دولار من المجمع المتأثر. تم أيضًا نصح المستخدمين المتأثرين بفتح تذكرة دعم على Discord الخاص بالمشروع.
نتائج التحقيق المبكر
أعلنت المنصة أنها قامت بتجميع غرفة حرب، تضم SEAL911 وشريكها في التدقيق، Chain Security، مع إجراء تحقيق كامل بعد الوفاة.
قد يعجبك أيضًا:
تشير النتائج الأولية إلى أن الحادث يشترك في مستوى مماثل من التعقيد الفني مع اختراق Balancer الأخير. أدى هذا الوصول غير المصرح به إلى سرقة أكثر من 120 مليون دولار عبر البروتوكول الرئيسي للمنصة والعديد من الشوكات.
قام المحللون على السلسلة بتتبع حدث Balancer إلى خطأ خسارة الدقة في حساب النقطة الثابتة الصحيح المستخدم لحساب عوامل القياس ضمن Composable Stable Pools، والتي تم تحسينها لأزواج الأصول القريبة من التكافؤ مثل USDC/USDT أو WETH/stETH.
شارك SlowMist لاحقًا أن الخلل أدى إلى اختلافات طفيفة ولكن متكررة في الأسعار أثناء عمليات المقايضة، خاصة عندما ينفذ المهاجمون عمليات متعددة ضمن معاملة واحدة باستخدام وظيفة المبادلة المجمعة.
وفي الوقت نفسه، تأتي حادثة Yearn بعد وقت قصير من تعرض البورصة الكورية Upbit لثغرة أمنية خاصة بها، مما أدى إلى خسارة 50 مليون دولار في Ethereum.
مكافأة الشراكة السرية لقراء CryptoPotato: استخدم هذا الرابط للتسجيل وفتح 1500 دولار في مكافآت BingX Exchange الحصرية (عرض لفترة محدودة).
(علامات للترجمة) DeFi
