Yearn Finance遭遇900萬美元漏洞攻擊,黑客製造“無限yETH代幣”
黑客無限鑄造 yETH 代幣並抽乾流動性池後,Yearn Finance 損失近 900 萬美元。
超過 300 萬美元的被盜 ETH 通過 Tornado Cash 轉移,成功隱藏了黑客的交易痕跡。
黑客錢包中仍持有約 600 萬美元的混合資產,其中包括各種質押的以太坊衍生品。
知名 DeFi 平台Yearn Finance遭遇重大安全事件,造成近 900 萬美元損失。 此次攻擊的目標是 Yearn 與其 yETH 代幣關聯的自定義穩定幣兌換池,黑客得以一次性鑄造幾乎無限量的代幣,並清空了該兌換池。
廣告以下是關鍵細節。
襲擊是如何發生的
根據Yearn Finance該問題發生在 11 月 30 日 21:11 UTC 左右。 受影響的合約設計與 Yearn 的主要產品不同,但該代碼中的一個漏洞使得攻擊者能夠鑄造近乎無限數量的 yETH 代幣,遠遠超出系統應該允許的數量。
他們利用這些假代幣,從資金池中提取了真正的 eth 和流動性質押資產。
主穩定幣池損失了約 800 萬美元,Curve 平台上的 yETH-WETH 池也損失了 90 萬美元。 損失總額接近 900 萬美元。
通過龍捲風洗錢的300萬美元
區塊鏈安全公司 PeckShieldAlert 證實,攻擊者迅速將約 1000 個以太幣(價值 300 萬美元)轉移到 Tornado Cash 平台,該平台常被用於隱藏交易痕跡。 剩餘的被盜資金,約 600 萬美元,仍存放在攻擊者的錢包地址 (0xa80d…c822) 中。
#PeckShield警報 Yearn Finance @yearnfi遭受攻擊,造成總損失約 900 萬美元。
該漏洞利用涉及鑄造近乎無限數量的 yETH 代幣,通過一次交易耗盡代幣池。
約1千以太坊(價值約300萬美元)已發送至#龍捲風現金而剝削者的……pic.twitter.com/IXNygpwoWa
該錢包目前持有多種ETH,包括pxETH、frxETH、cbETH、Lido stETH和rocket pool rETH。 其中大部分已被質押,這可能是為了拖延追回或使潛在的法律訴訟複雜化。
Yearn Finance的回應
YeARn Finance團隊快速響應並確認該漏洞僅限於舊版 yETH 產品,並向用戶保證活躍金庫及其資金仍然安全。
他們一直在與安全團隊和審計人員合作,對該事件進行深入調查。 截至目前,尚未公佈任何恢復計劃。
襲擊事件發生後,市場反應導致 Yearn 的治理代幣 (YFI) 在事件發生後下跌了約 4.4%。 交易價格接近 3956 美元。
