Yearn Finance sufrió una pérdida de 9 millones de dólares debido a un ataque de acuñación infinita, ¿tiene un método similar al incidente de Balancer?

El protocolo de ingresos descentralizados Yearn Finance ha experimentado nuevamente un importante incidente de seguridad. Su fondo de liquidez Yearn Ether (yETH) fue atacado hoy por un ataque a contratos, donde los hackers aprovecharon una vulnerabilidad en el contrato de intercambio estable personalizado para llevar a cabo una operación de “acuñación infinita” y drenar todo el fondo, causando finalmente una pérdida de aproximadamente 9 millones de dólares. Yearn enfatiza que este incidente se limita a un solo contrato personalizado, y otros productos Vault no se ven afectados.

¿Cómo ocurrió el ataque? Yearn sufrió un ataque de acuñación infinita, con pérdidas de 9 millones de dólares.

El observador en la cadena Togbe señaló que primero notó que las direcciones relacionadas con yETH estaban realizando una serie de operaciones sospechosas, incluyendo el despliegue de contratos temporales, rutas de intercambio extrañas y una gran interacción con Tornado Cash. Posteriormente, aclaró que el núcleo de este ataque se centraba en el contrato de intercambio estable personalizado (stableswap) utilizado por yETH.

Él señaló que yETH es un activo indexado diseñado por Yearn para integrar múltiples LST, y que los atacantes encontraron una vulnerabilidad en la lógica del contrato que les permitió acuñar una cantidad casi infinita de yETH. Estos tokens luego fueron canjeados por activos reales en el fondo, incluyendo ETH y otros LST, lo que resultó en que todo el fondo fuera vaciado en una sola transacción.

El contrato fue acuñado a un nivel astronómico de yETH.

Se informa que el ataque fue llevado a cabo por varios contratos inteligentes desplegados temporalmente. Algunos de estos contratos se autodestruyeron inmediatamente después de completar el ataque, lo que demuestra que la ruta del ataque fue meticulosamente calculada y también aumenta la dificultad de la investigación. Al principio, el público solo vio que aproximadamente 1,000 ETH (, alrededor de 3 millones de dólares ), fueron transferidos a Tornado Cash; sin embargo, las pérdidas totales del incidente son mucho mayores.

¿Se amplía el impacto? Yearn enfatiza que V2, V3 y otros productos son seguros.

Yearn oficial también publicó un anuncio de inmediato, indicando que la pérdida principal del fondo es de aproximadamente 8 millones de dólares, además de aproximadamente 900 mil dólares provenientes del fondo yETH-WETH en Curve, con una pérdida total de aproximadamente 9 millones de dólares.

El equipo también tranquilizó de inmediato a los usuarios, enfatizando que el evento solo está relacionado con el contrato personalizado de estabilidad (stableswap) utilizado por yETH, y no involucra el diseño del Vault principal desplegado por Yearn. En otras palabras, los Vaults V2 y V3 no se han visto afectados, y productos relacionados como yCRV, Katana y Morpho siguen funcionando normalmente.

La gran suerte en la desgracia es que el yETH no ha sido utilizado como colateral por los principales protocolos de préstamos del mercado, por lo que no ha provocado liquidaciones en cadena ni presión sistémica, lo que ha permitido que el impacto se mantenga dentro de un rango relativamente limitado.

El equipo de seguridad cibernética Shield señala que, además de los fondos que ya han sido lavados a través de Tornado Cash, la dirección del atacante aún tiene aproximadamente 6 millones de dólares que no se han movido, lo que podría indicar que todavía están observando el progreso de la investigación.

La técnica es similar al ataque de Balancer, y la investigación posterior sigue en curso.

El equipo de Yearn ha indicado que la complejidad de este ataque es bastante alta, incluso presenta ciertas similitudes con el reciente evento de Balancer, incluyendo interacciones de contratos múltiples, lógica de transacciones y un profundo entendimiento del modelo de precios de curvas. La oficialidad está llevando a cabo una investigación exhaustiva en colaboración con varios socios de auditoría, ChainSecurity, para publicar un informe completo lo antes posible.

(¿Reacción en cadena de Balancer? Stream Finance sufrió una pérdida de 93 millones de dólares, colapso de xUSD )

Este artículo trata sobre cómo Yearn Finance sufrió un ataque de acuñación infinita con una pérdida de 9 millones de dólares, ¿el método es similar al incidente de Balancer? Apareció por primera vez en Chain News ABMedia.