Yearn Finance зазнала четвертий злом, оскільки зловмисник вивів кошти з застарілого сховища v1

Yearn Finance зазнала четверту зломку, оскільки атака з використанням флеш-кредиту зняла кошти з застарілого сховища v1, підкреслюючи постійні ризики від застарілих DeFi-контрактів та тактик маніпуляції цінами.​

Коротко

• PeckShield повідомляє, що зловмисник використав флеш-кредити для маніпуляції цінами у застарілому сховищі Yearn v1 (iearn), зняв активи та конвертував їх у інший токен.​
• Це сталося після окремої експлуатації $9 мільйонного yETH раніше цього місяця та попередніх зломів у 2023 та 2021 роках, незважаючи на кілька аудитів контрактів протоколу.​
• Yearn заявляє, що переглядає активні контракти, посилює заходи безпеки та попереджає користувачів бути обережними з застарілими сховищами v1, оскільки атаки з використанням флеш-кредитів продовжують цілитися у застарілий DeFi-код.

Yearn Finance, протокол децентралізованих фінансів, зазнав своєї четвертої зломки за останні тижні, повідомляє компанія з безпеки блокчейнів PeckShield.

Остання атака була спрямована на застарілий смарт-контракт Yearn v1, раніше відомий як iearn, що призвело до зафіксованих збитків, повідомила компанія. Інцидент стався після попередньої зломки, про яку повідомлялося у листопаді.

Yearn finance розкриває стратегію атаки з використанням флеш-кредиту

Зловмисник використав флеш-кредит для маніпуляції цінами токенів у постраждалому сховищі, згідно з аналізом PeckShield. Злочинець зняв активи iearn і конвертував їх у іншу криптовалюту, повідомила компанія з безпеки. Зламаний контракт є частиною Yearn v1 і не отримував оновлень кілька років, згідно з документацією протоколу.

Флеш-кредити дозволяють позичальникам отримувати великі суми криптовалюти без застави, що дає змогу зловмисникам маніпулювати цінами та швидко знімати активи, кажуть експерти з безпеки блокчейнів.

Yearn Finance зазнала чотирьох зломів за останні роки. У листопаді протокол зазнав експлуатації нескінченого створення монет, повідомляють джерела. У 2023 році Yearn зазнала ще одного зламу та окремого інциденту, пов’язаного з Euler Finance, повідомляють галузеві джерела. У 2021 році подібна експлуатація призвела до значних збитків, згідно з записами протоколу.

Кожна атака використовувала складні методи, включаючи флеш-кредити та маніпуляцію цінами, повідомляють аналітики з безпеки. Проведено аудити безпеки протоколу, хоча застарілі контракти залишаються вразливими до потенційних уразливостей, кажуть компанії з безпеки блокчейнів.

Yearn Finance переглядає всі активні контракти на предмет вразливостей, оголосив протокол. PeckShield та інші сервіси моніторингу блокчейнів відстежили злом одразу і закликали користувачів перевірити баланси та забезпечити потенційно вразливі кошти.

Команда протоколу не надала публічних деталей щодо планів відновлення. Yearn Finance продовжує перевіряти залишкові контракти v1 на предмет уразливостей і рекомендує бути обережними при взаємодії з застарілими сховищами, згідно з заявою протоколу.

Заходи безпеки та перевірки посилюються для запобігання подальших збитків, повідомила компанія. Атаки з використанням флеш-кредитів продовжують становити ризик для застарілих протоколів децентралізованих фінансів, згідно з галузевими оцінками безпеки.