Yearn Finance vahvisti sunnuntaina aktiivisen hyväksikäytön, joka vaikutti sen yETH-tuotteeseen. Hyökkääjä loi rajattomasti yETH:itä ja tyhjensi likviditeettiä Balancer-pooleista.
Tapauksen seurauksena ketjussa esiintyi voimakasta liikettä, mukaan lukien useita 100 ETH:n siirtoja Tornado Cashin kautta.
Infinite-mint-hyökkäys vie likviditeettiä Balancer-poolseista
Lohkoketjutietojen mukaan hyväksikäyttö tapahtui noin klo 21.11 UTC 30. marraskuuta, kun haitallinen lompakko suoritti äärettömän luomisen hyökkäyksen luoden noin 235 biljoonaa yETH:itä yhdellä siirrolla.
Nansenin hälytysjärjestelmä vahvisti myöhemmin hyökkäyksen ja tunnisti tapahtuman äärettömän luomisen haavoittuvuutena yETH-token-sopimuksessa, ei Yearn’s Vault -infrastruktuurissa.
Hyökkääjä käytti vastikään luotuja yETH:itä tyhjentääkseen todellisia omaisuuseriä—pääasiassa ETH:itä ja Liquid Staking Tokeneita (LST:t)—Balancer-likviditeettipooleista. Varhaisten arvioiden mukaan noin 2,8 miljoonaa dollaria omaisuutta poistettiin.
Noin 1 000 ETH:a pestiin Tornado Cashin kautta pian hyökkäyksen jälkeen. Useita apusopimuksia, joita käytettiin hyväksikäytössä, otettiin käyttöön muutamaa minuuttia ennen tapahtumaa ja ne tuhoutuivat jälkien peittämiseksi.
Yearn totesi, että V2- ja V3-Valuuttoihin ei vaikuttanut, ja haavoittuvuus näyttää rajoittuvan vanhaan yETH-toteutukseen.
Protokollan Total Value Locked (TVL) pysyy yli 600 miljoonassa dollarissa CoinGeckon mukaan, mikä viittaa siihen, että ydinsysteemejä ei vaarannettu.
YFI:n hinta kierähti ylös markkinoiden palautuessa alkupaniikista
Kuitenkin markkinareaktio loi odottamattoman dynamiikan. Pian sen jälkeen kun hyväksikäyttö huomattiin sosiaalisessa mediassa ja lohkoketjuanalyytikoiden toimesta, YFI:n hinta nousi rajusti, nousten noin 4 080 dollarista yli 4 160 dollariin tunnin sisällä.
Liike tapahtui huolimatta laajemmasta Yearn-ekosysteemiä koskevasta negatiivisesta uutisotsikosta.
Hintareaktio näyttää liittyvän markkinoiden virheelliseen tulkintaan tapahtuman alkuhetkillä. Ensimmäiset väitteet “Yearn-hyökkäyksestä” johtivat voimakkaasti vipuvaikutettuihin lyhyisiin positioihin YFI:ssä, johtuen tokenin vähäisestä likviditeetistä ja historiallisesti aggressiivisista hintaliikkeistä hakkereiden aikana.
Hyökkäys oli eristetty yETH:iin eikä vaikuttanut Yearn’s Vaultseihin, ja lyhyen myyjät alkoivat kattamaan asemansa. Tämä laukaisi lyhyen puristuksen ja hintapiikin volatiliteetin vuoksi.
YFI:n liikkeellä oleva tarjonta on vain 33 984 tokenia, mikä tekee siitä yhden epälikvideimmistä merkittävistä DeFi-hallintaomaisuuksista. Tämä rakenne vahvistaa hintaliikkeitä, erityisesti epävarmuuden tai nopean likvidointivirran aikana. Johdannaisten tiedot osoittivat myös korotetun rahoitusvolatiliteetin heti hyväksikäyttöhälytyksen jälkeen.
Tällä hetkellä tappiot näyttävät rajoittuvan yETH:iin ja Balancer-pooleihin, joita hyväksikäytettiin. Tutkimukset ovat yhä käynnissä, eikä ole selvää, onko varastettujen omaisuuserien palauttamiseksi olemassa vaihtoehtoja.
Markkinat seuraavat todennäköisesti Yearnin virallista ilmoitusta, joka käsittelee juurisyitä, korjaustoimenpiteitä ja mahdollisia hallintotoimia.
