El protocolo descentralizado Yearn Finance, uno de los servicios históricos del ecosistema Ethereum, informó de un exploit el 30 de noviembre que resultó en pérdidas de casi 9 millones de dólares.
Anhelar es Automatizar estrategias de inversión en finanzas descentralizadas (DeFi). Ese arreglo gestiona los depósitos de los usuarios y toma medidas para optimizar el rendimiento.
Este incidente afectó a una de sus piscinas. intercambio estableun tipo de arreglo inteligente diseñado para cambiar activos que mantienen un valía similar entre sí.
Yearn informó que el exploit se produjo con una lectura personalizada del código. intercambio estable Y incluso su Las bóvedas V2 y V3 (bóvedas de inversión automatizadas) no están en aventura.
¿Cómo ocurrió el atropello del arreglo de Yearn?
a través de un comunicado sobre
El término acuñación se refiere a la creación de nuevos tokens adentro de un arreglo inteligente. En este caso, el atacante logró cerrar el trato. Genera grandes cantidades de yETH sin ningún respaldo positivo.
Los tokens yETH representan la billete de un sucesor adentro del congregación afectado. Cuando cierto deposita ETH o activos equivalentes, recibe yETH proporcionalmente.
Los piratas informáticos descubrieron fallas como Ahora puedes crear tokens sin donar fondos. De hecho, ha adquirido “tokens de propiedad” líquidos no depositados.
YETH creado incorrectamente permite a atacantes maliciosos retiró fondos reales del fondo global Además incluye el par yETH-WETH (éter envuelto). Por lo tanto, utilizamos tokens generados incorrectamente para agotar la solvencia positivo.
Según Yearn, las pérdidas de reservas ascendieron a 8 millones de dólares en el fondo principal y 900.000 dólares adicionales en los fondos ubicados en Curve Finance, otra plataforma descentralizada de Ethereum. El monto total es de aproximadamente 9 millones.
El equipo señaló que sala de emergencias activada Trabajaremos con SEAL 911 (Liga de respuesta rápida a incidentes) y ChainSecurity, uno de nuestros auditores contratados, para realizar una investigación completa.
Token nativo de Yearn (YFI) incluso Me quedé en shock. YFI cayó un 6,55% en las últimas 24 horas.cotizando a aproximadamente $3,800 al obturación de esta nota.
Más tarde, inmediatamente luego del ataque a Yearn, El precio de yETH cae a 0:
Detalles del ataque a Yearn Finance
Becario conocido como Cos on X, fundador de SlowMist Team (empresa especializada en seguridad y examen) En sujeción) proporcionó aspectos adicionales.
El analista señaló que el responsable había “preparado una cantidad muy pequeña de gas (0,0006384 ETH) del Protocolo de Privacidad Railgun hace 28 días”. Un cañón de riel es una de esas herramientas. Los datos de la transacción se pueden ocultar Mediante prueba criptográfica.
La preparación previa del gas significa que al atacante le quedan fondos mínimos listos para planificar sus movimientos y tomar medidas. sin revelar su verdadera identidad.
Además detalló que esta operación terminó moviendo “1000 ether (ETH) a TornadoCash, un mezclador que fragmenta y combina fondos de múltiples usuarios”. Para evitar el seguimiento.
Estos movimientos se pueden ver en la próximo imagen.
Según su examen, originalmente eran 1100 ETH, pero se retiraron 100 para su uso posterior. El saldo enviado al mezclador coincide con la pérdida estimada del exploit, lo que sugiere que la minería se realizó de forma directa y válido.
Por otra parte, el fundador de SlowMist afirmó que “al igual que el mencionado hack de Balancer, este es obra del mismo congregación de phishing”: un ataque que manipula datos y engaña a los usuarios y sistemas para que acepten información falsa.
Cos concluyó describiendo a los piratas informáticos de la próximo forma: “Cierto con estándares de facilidad muy altos”notó la meticulosa forma en que cubría sus huellas.
(Traducción de etiquetas) DeFi
