Yearn公司追回了因“未經核對的算術”漏洞而被盜的240萬美元資產。

據周一發布的最新消息，Yearn Finance團隊已從最近一次針對其傳統DeFi協議的攻擊中追回了約240萬美元的被盜資產，而總損失估計接近900萬美元。 X平台上的一篇帖子稱，一項協調一致的追回行動正在“積極進行中”。

週日，曾經風靡一時的流動性挖礦協議 Yearn 的一個漏洞遭到利用，導致 Yearn 以太坊 (yETH) 穩定幣池以及 Curve 平台上規模較小的 yETH-WETH 池中的資產被盜。 Yearn 表示，這是自 2021 年以來針對 Yearn 的第三次攻擊，其複雜程度與近期 Balancer 遭受的攻擊“類似”。

根據屍檢報告已發布週一，“根本原因”源於一個“未經檢查的算術”漏洞和其他“促成設計問題”，這些漏洞和問題使得攻擊者能夠鑄造 2.3544x10^56 個 yETH 代幣——一個近乎無限的數量——用於從協議中抽走流動性。

根據事後分析，“實際的漏洞利用交易遵循以下模式：大規模增發之後，會進行一系列提款，將真實資產轉移到攻擊者手中，而 yeth 代幣的供應量實際上毫無意義。”

YeARn指出，此次攻擊是有針對性的，不會影響其V2或V3金庫。 “任何成功追回的資產都將返還給受影響的儲戶，”該團隊補充道。

正如《The Block》之前那樣據報導攻擊者已成功將至少 1000 個 ETH 和若干流動性質押代幣轉移到 Tornado Cash 匿名化平台。 截至發稿時，Yearn 與加密安全公司 SEAL 911 和 ChainSecurity 合作，借助 Plume 網絡追回了 857.49 個 pxETH。

BlockScout指出，黑客在攻擊中使用了自毀式“輔助合約”。 這些代碼插入是專門用於執行自動化任務的輔助智能合約，常被用於閃電貸攻擊，這類攻擊需要在單筆交易中完成多個步驟。

例如，攻擊者利用一個輔助合約操縱了存在漏洞的 yETH 函數，鑄造了數量驚人的代幣，並耗盡了協議資源，然後引爆了自身。 “自毀機制會移除字節碼，使合約在引爆後無法讀取，但創建交易和日誌會被保留，”Blockscout 表示。

Yearn公司週日表示：“初步分析表明，此次黑客攻擊的複雜程度與最近Balancer黑客攻擊事件類似，因此請耐心等待我們進行事後分析。沒有其他Yearn產品使用與此次受影響代碼類似的代碼。”