據周一發布的最新消息,Yearn Finance團隊已從最近一次針對其傳統DeFi協議的攻擊中追回了約240萬美元的被盜資產,而總損失估計接近900萬美元。X平臺上的一篇帖子稱,一項協調一致的追回行動正在“積極進行中”。
周日,曾經風靡一時的流動性挖礦協議 Yearn 的一個漏洞遭到利用,導致 Yearn 以太坊 (yETH) 穩定幣池以及 Curve 平臺上規模較小的 yETH-WETH 池中的資產被盜。Yearn 表示,這是自 2021 年以來針對 Yearn 的第三次攻擊,其復雜程度與近期 Balancer 遭受的攻擊“類似”。
根據尸檢報告已發布周一,“根本原因”源于一個“未經檢查的算術”漏洞和其他“促成設計問題”,這些漏洞和問題使得攻擊者能夠鑄造 2.3544x10^56 個 yETH 代幣——一個近乎無限的數量——用于從協議中抽走流動性。
根據事后分析,“實際的漏洞利用交易遵循以下模式:大規模增發之后,會進行一系列提款,將真實資產轉移到攻擊者手中,而 yETH 代幣的供應量實際上毫無意義。”
Yearn指出,此次攻擊是有針對性的,不會影響其V2或V3金庫。“任何成功追回的資產都將返還給受影響的儲戶,”該團隊補充道。
正如《The Block》之前那樣據報道攻擊者已成功將至少 1000 個 ETH 和若干流動性質押代幣轉移到 Tornado Cash 匿名化平臺。截至發稿時,Yearn 與加密安全公司 SEAL 911 和 ChainSecurity 合作,借助 Plume 網絡追回了 857.49 個 pxETH。
BlockScout指出,黑客在攻擊中使用了自毀式“輔助合約”。這些代碼插入是專門用于執行自動化任務的輔助智能合約,常被用于閃電貸攻擊,這類攻擊需要在單筆交易中完成多個步驟。
例如,攻擊者利用一個輔助合約操縱了存在漏洞的 yETH 函數,鑄造了數量驚人的代幣,并耗盡了協議資源,然后引爆了自身。“自毀機制會移除字節碼,使合約在引爆后無法讀取,但創建交易和日志會被保留,”Blockscout 表示。
Yearn公司周日表示:“初步分析表明,此次黑客攻擊的復雜程度與最近Balancer黑客攻擊事件類似,因此請耐心等待我們進行事后分析。沒有其他Yearn產品使用與此次受影響代碼類似的代碼。”
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
