Yearn récupère 2,4 millions de dollars d’actifs volés provenant d’un bug d’« arithmétique non vérifiée »
Le protocole OG DeFi Yearn Finance a perdu environ 9 millions de dollars lors d'une attaque exploitée dimanche, après qu'un attaquant a réussi à créer une quantité quasi infinie de jetons yETH et à vider un pool stableswap Ether de Yearn. L'équipe a déclaré qu'une opération de récupération est en cours et que ses protocoles V2 et V3 ne sont pas menacés.
L'équipe de Yearn Finance a récupéré environ 2,4 millions de dollars d'actifs volés lors de la dernière exploitation du protocole DeFi legacy, alors que les pertes totales estimées approchent les 9 millions de dollars, selon une mise à jour publiée lundi. Une mission de récupération coordonnée est « active et en cours », selon un post sur X.
Dimanche, une vulnérabilité dans le protocole de yield-farming autrefois populaire a été exploitée pour vider les actifs du pool stableswap Yearn Ether (yETH) ainsi que du plus petit pool yETH‑WETH sur Curve. L’attaque, la troisième visant Yearn depuis 2021, présentait une « complexité similaire » à celle du récent hack de Balancer, selon Yearn.
Selon un rapport post-mortem publié lundi, la « cause racine » provient d’un bug d’« arithmétique non vérifiée » et d’autres « problèmes de conception contributifs » qui ont permis à l’attaquant de minter 2,3544x10^56 tokens yETH — une quantité quasiment infinie — utilisés pour drainer la liquidité du protocole.
« Les transactions d’exploitation suivent ce schéma : le mint massif est suivi d’une séquence de retraits qui transfèrent les actifs réels à l’attaquant, tandis que l’offre de tokens yETH devient effectivement insignifiante », selon le rapport post-mortem.
Yearn précise que l’attaque était ciblée et ne devrait pas impacter ses coffres V2 ou V3. « Tous les actifs récupérés avec succès seront restitués aux déposants affectés », a ajouté l’équipe.
Comme The Block l’a précédemment rapporté , l’attaquant a pu transférer au moins 1 000 ETH et plusieurs tokens de staking liquide vers l’anonymiseur Tornado Cash. Yearn, en collaboration avec les sociétés de sécurité crypto SEAL 911 et ChainSecurity, a travaillé avec le réseau Plume pour récupérer 857,49 pxETH à l’heure de la publication.
BlockScout a indiqué que le hacker avait déployé des « contrats d’assistance » auto-destructeurs dans le cadre de l’attaque. Ces inserts de code sont des contrats intelligents auxiliaires spécialisés utilisés pour effectuer des tâches automatisées, et souvent détournés lors d’attaques de flash loan nécessitant plusieurs étapes dans une seule transaction.
L’attaquant, par exemple, a utilisé un contrat d’assistance pour manipuler la fonction yETH vulnérable, minter une quantité absurde de tokens, et vider le protocole, avant de s’auto-détruire. « L’auto-destruction supprime le bytecode, rendant le contrat illisible par la suite, mais les transactions de création et les logs sont conservés », a déclaré BlockScout.
« Une première analyse a indiqué que ce hack présente un niveau de complexité similaire à celui du récent hack de Balancer, donc merci de patienter pendant que nous effectuons l’analyse post-mortem », a déclaré Yearn dimanche. « Aucun autre produit Yearn n’utilise un code similaire à celui qui a été impacté. »
Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.
Vous pourriez également aimer
Législation sur les stablecoins en plein essor dans le monde entier : pourquoi la Chine adopte-t-elle une approche inverse ? Un article pour comprendre le véritable choix stratégique national
Alors que la législation mondiale sur les stablecoins s'accélère, la Chine choisit de réprimer fermement les stablecoins et autres monnaies virtuelles, tout en accélérant le développement du yuan numérique afin de préserver la sécurité nationale et la souveraineté monétaire. Résumé généré par Mars AI. Ce résumé a été produit par le modèle Mars AI, dont l'exactitude et l'exhaustivité sont encore en cours d'amélioration.
Le grand déplacement de liquidités commence ! Le Japon devient le "réservoir" de la Fed, le retour de carry trades de 120 milliards va déclencher une explosion du marché crypto en décembre.
La Réserve fédérale a arrêté la réduction de son bilan et pourrait baisser les taux d'intérêt, tandis que la Banque du Japon prévoit une hausse des taux. Ce changement dans la liquidité mondiale affecte les opérations de carry trade et la valorisation des actifs. Résumé généré par Mars AI. Ce résumé a été généré par le modèle Mars AI, dont l’exactitude et l’exhaustivité sont encore en cours d’amélioration.
Sélection du top de la semaine : La Banque du Japon envoie le signal de hausse des taux le plus fort ! Le marché du cuivre entre-t-il dans une préfiguration de super cycle ?
Le principal candidat à la présidence de la Fed est critiqué pour une possible « baisse accommodante des taux ». Le prix du cuivre atteint un record historique ; les cinq heures de discussions entre les États-Unis et la Russie n’ont abouti à aucun résultat ! Les attentes d’une hausse des taux au Japon en décembre augmentent fortement ; Moore Threads a vu son cours grimper jusqu’à cinq fois lors de son premier jour de cotation... Quelles évolutions de marché stimulantes avez-vous manqué cette semaine ?
En vogue
PlusMise à jour des prévisions de prix pour Mutuum Finance (MUTM) : Ce crypto DeFi à 0,035 $ pourrait-il bondir de 800 % après le lancement de la V1 ?
Législation sur les stablecoins en plein essor dans le monde entier : pourquoi la Chine adopte-t-elle une approche inverse ? Un article pour comprendre le véritable choix stratégique national
Prix des cryptos
Plus
