Yearn Finance confirme une perte de $9 millions après un incident de frappe non autorisée de YETH.

Un attaquant a exploité un contrat yETH hérité et a vidé près de $9 millions à travers deux pools de liquidité.

Environ $3 millions d'ETH volés ont été déplacés via Tornado Cash, tandis que $6 millions restent dans le portefeuille de l'attaquant.

Yearn Finance a confirmé que le problème n'affectait que le produit hérité alors que les enquêtes se poursuivent sans qu'un plan de récupération ne soit annoncé.

Yearn Finance a signalé un incident de sécurité majeur après qu'un attaquant a eu accès à un pool personnalisé et a créé un volume illimité de tokens yETH. L'événement a causé près de $9 millions de pertes et a suscité des efforts d'enquête immédiats. La plateforme a déclaré que le problème concernait un produit hérité et n'affectait pas les coffres actifs. La violation a déclenché un nouvel examen dans le secteur de la finance décentralisée alors que les enquêteurs traquaient le mouvement des actifs volés.

La création de tokens non autorisés permet un drain important d'actifs

L'événement s'est produit le 30 novembre à 21h11 UTC lorsqu'un attaquant a ciblé un contrat lié au jeton yETH de Yearn. Les enquêteurs ont déclaré que le contrat utilisait un design unique qui différait des offres principales de la plateforme. Ce design a créé une ouverture qui a permis à l'attaquant de frapper des jetons yETH bien au-delà des limites prévues. Le mint excessif a ensuite permis des retraits directs des pools de liquidité connectés.

L'attaquant a retiré environ $8 millions d'un pool de stableswap principal. De plus, l'attaquant a extrait environ 0,9 million de dollars d'un pool yETH-WETH hébergé sur Curve. La perte combinée a atteint près de $9 millions. L'incident s'est déroulé en une seule exécution, que les enquêteurs ont décrite comme un drainage rapide de la liquidité accessible.

Le mouvement des fonds à travers Tornado Cash suit l'attaque

Peu de temps après les retraits non autorisés, des groupes de suivi ont observé l'attaquant transférer une partie des fonds volés. Les analystes de PeckShieldAlert ont rapporté que l'attaquant a déplacé environ 1 000 ETH, d'une valeur d'environ $3 millions, via Tornado Cash. Ce service permet couramment l'obfuscation des transactions, ce qui limite la visibilité sur les destinations suivantes.

L'attaquant a conservé le contrôle des actifs restants. Les enregistrements de portefeuille ont montré environ $6 millions dans divers tokens toujours détenus par l'adresse identifiée comme 0xa80d…c822. Ces avoirs comprenaient plusieurs dérivés d'Ethereum stakés pris lors du drain initial.

L'équipe de Yearn Finance répond alors que l'enquête se poursuit

Yearn Finance a déclaré que l'exploitation n'affectait que le produit yETH hérité. L'équipe a rapporté que les coffres actifs et les positions des utilisateurs n'ont pas été exposés. Les partenaires de sécurité et les groupes d'audit examinent maintenant l'incident pour déterminer ce qui a permis la faiblesse du contrat et comment le minting non autorisé s'est produit. Yearn Finance n'a pas annoncé de processus de récupération d'actifs. Les enquêteurs continuent de documenter les mouvements de fonds et d'analyser le contrat compromis. Les données du marché ont montré que le jeton de gouvernance YFI se négociait près de 3 956 $ après l'incident et a enregistré une baisse d'environ 4,4 %.