根据最新报道,Yearn Finance团队成功追回了约240万美元的被盗资产,该资产是最近一次针对其传统DeFi协议的攻击的一部分。尽管总损失估计接近900万美元,但X平台上的一篇帖子称,一项协调一致的追回行动正在“积极进行中”。这个好消息给了投资者希望,显示了团队的专业和决心。
周日,曾经风靡一时的流动性挖矿协议 Yearn 的一个漏洞遭到利用,导致 Yearn 以太坊 (yETH) 稳定币池以及 Curve 平台上规模较小的 yETH-WETH 池中的资产被盗。Yearn 表示,这是自 2021 年以来针对 Yearn 的第三次攻击,其复杂程度与近期 Balancer 遭受的攻击“类似”。
根据尸检报告已发布周一,“根本原因”源于一个“未经检查的算术”漏洞和其他“促成设计问题”,这些漏洞和问题使得攻击者能够铸造 2.3544x10^56 个 yETH 代币——一个近乎无限的数量——用于从协议中抽走流动性。
根据事后分析,“实际的漏洞利用交易遵循以下模式:大规模增发之后,会进行一系列提款,将真实资产转移到攻击者手中,而 yETH 代币的供应量实际上毫无意义。”
Yearn指出,此次攻击是有针对性的,不会影响其V2或V3金库。“任何成功追回的资产都将返还给受影响的储户,”该团队补充道。
正如《The Block》之前那样据报道攻击者已成功将至少 1000 个 ETH 和若干流动性质押代币转移到 Tornado Cash 匿名化平台。截至发稿时,Yearn 与加密安全公司 SEAL 911 和 ChainSecurity 合作,借助 Plume 网络追回了 857.49 个 pxETH。
BlockScout指出,黑客在攻击中使用了自毁式“辅助合约”。这些代码插入是专门用于执行自动化任务的辅助智能合约,常被用于闪电贷攻击,这类攻击需要在单笔交易中完成多个步骤。
例如,攻击者利用一个辅助合约操纵了存在漏洞的 yETH 函数,铸造了数量惊人的代币,并耗尽了协议资源,然后引爆了自身。“自毁机制会移除字节码,使合约在引爆后无法读取,但创建交易和日志会被保留,”Blockscout 表示。
Yearn公司周日表示:“初步分析表明,此次黑客攻击的复杂程度与最近Balancer黑客攻击事件类似,因此请耐心等待我们进行事后分析。没有其他Yearn产品使用与此次受影响代码类似的代码。”