Yearn восстановил украденные активы на сумму $2,4 миллиона из-за бага «непроверенной арифметики»

Команда Yearn Finance восстановила примерно 2,4 миллиона долларов украденных активов после недавней атаки на устаревший DeFi-протокол, в то время как общие предполагаемые потери приближаются к 9 миллионам долларов, согласно обновлению в понедельник. В публикации на X говорится, что координированная операция по возврату активов "активна и продолжается".

В воскресенье уязвимость в некогда популярном протоколе yield-farming была использована для вывода активов из пула Yearn Ether (yETH) stableswap и меньшего пула yETH‑WETH на Curve. Эта атака, третья по счету против Yearn с 2021 года, была "схожей по высокой сложности" с недавним взломом Balancer, отметили в Yearn. 

Согласно опубликованному в понедельник post-mortem, "коренная причина" заключалась в ошибке "непроверенной арифметики" и других "сопутствующих проблемах проектирования", которые позволили злоумышленнику создать 2.3544x10^56 токенов yETH — практически бесконечное количество — и использовать их для вывода ликвидности из протокола. 

“Фактические транзакции эксплойта следуют такому шаблону: после огромного выпуска токенов следует последовательность выводов, которые переводят реальные активы злоумышленнику, в то время как предложение токенов yETH фактически не имеет значения”, говорится в post-mortem. 

Yearn отмечает, что атака была целенаправленной и не должна повлиять на их хранилища V2 или V3. “Все успешно возвращённые активы будут возвращены пострадавшим вкладчикам”, добавила команда. 

Как ранее сообщал The Block, злоумышленнику удалось перевести как минимум 1 000 ETH и несколько ликвидных стейкинговых токенов в анонимизатор Tornado Cash. Yearn совместно с криптобезопасностными компаниями SEAL 911 и ChainSecurity работали с сетью Plume для возврата 857,49 pxETH на момент публикации. 

BlockScout сообщил, что хакер развернул самоуничтожающиеся “вспомогательные контракты” в рамках атаки. Эти вставки кода представляют собой специализированные вспомогательные смарт-контракты, которые используются для выполнения автоматизированных задач и часто применяются при flash loan-атаках, требующих нескольких шагов в одной транзакции. 

Например, злоумышленник использовал вспомогательный контракт для манипулирования уязвимой функцией yETH, выпуска огромного количества токенов и вывода средств из протокола, после чего контракт самоуничтожился. “Self-destruct удаляет байткод, делая контракт нечитаемым впоследствии, но транзакции создания и логи сохраняются”, — сообщил Blockscout.

“Первоначальный анализ показал, что этот взлом имеет схожий высокий уровень сложности с недавним взломом Balancer, поэтому просим отнестись с пониманием, пока мы проводим post-mortem анализ”, — заявили в Yearn в воскресенье. “Ни один другой продукт Yearn не использует схожий код с тем, который был затронут.”