2025-ci il noyabrın 30-u saat təxminən 21:11 UTC-də bir hücumçu Yearn Finance-in köhnə yETH token müqaviləsində minting zəifliyindən sui-istifadə etdi. Yalnız bir əməliyyatda təxminən 235 trilyon yETH tokeni yaradaraq hücumçu əsas stableswap hovuzundan və Curve üzərində yETH-WETH hovuzundan təxminən 8 milyon ABŞ dolları və 0,9 milyon ABŞ dolları mənimsədi, ümumilikdə təxminən 9 milyon dollarlıq itkiyə səbəb oldu. İzləri ört-basdır etmək üçün təxminən 1,000 ETH-ə bərabər vəsait sonradan Tornado Cash mikserinə yönləndirildi.
Yearn Finance hadisəni dərhal təsdiq etdi və açıqladı ki, istismar yalnız köhnə yETH üçün xüsusi sabit-swap tətbiqinə təsir edib və V2 və V3 Vault infrastrukturlarını pozmuyub; bunlar birlikdə kilidlənən ümumi dəyər 600 milyon dollardan çoxdur. Hadisə Yearn protokol tarixindəki ən son təhlükəsizlik pozuntusu kimi qiymətləndirildi; 2021-ci ildəki əvvəlki sui-istifadələrdən və 2023-cü ildə çox-işarəli (multisignature ilə bağlı) məsələlərdən sonra gəldi və köhnə kodun qorunmasına dair davam edən çağırışları bir daha vurğuladı.
SEAL 911 və ChainSecurity kimi təhlükəsizlik şirkətləri tərəfindən aparılan blokçeyn analizləri, icra edildikdən sonra öz-özünü məhv edən müvəqqəti köməkçi müqavilələrin yerləşdirildiyini göstərdi, bu da forensik araşdırmaları çətinləşdirdi. Hücumçu bu müqavilələrdən istifadə edərək yETH təchizatını şişirdib real aktivlər çıxardı və standart mint-limiti tədbirlərini işə salmadan bunu etdi. Zəncir üzərindəki xəbərdarlıqlar anomaliyayı dərhal işarələdi və Yearn-ın idarəçilik icması sonrakı dövrdə kompensasiya variantları ətrafında müzakirələrə başladı.
Hücumdan sonra protokolun yerli YFI sikkəsi qəfil qiymət düşməsi yaşadı və təxminən 5,5% itki ilə investor etibarının azalması və protokol gəlir proqnozlarının müvəqqəti enməsi ilə əlaqələndirildi. Ticarət həcmində artış baş verdi, arbitraj botları və reaksiya verən treyderlər qiymət fərqliliklərindən faydalanaraq Yearn-a aid bazarlarda dalğalanmanı daha da sürətlə artırdı.
Bu cavab olaraq Yearn Finance çoxşaxəli təmirləmə planına başladı: zərər çəkən tərəflərə 3,2 milyon USDC-lik Merkle airdropunu səlahiyyətləndirmək üçün idarəetmə təklifi, minting məhdudiyyətlərini tətbiq etmək üçün v1.1 yaması və bütün stabil-swap hovuzları üzrə real vaxt izləmə vasitələrinin tətbiqi. Əlaqəli tapıntılar üçün 500,000 dollar dəyərində səhv mükafatı da təklif edildi; məqsəd kod təhlükəsizliyini gücləndirmək və istifadəçi etibarını bərpa etməkdir.
İstismar köhnə DeFi müqavilələrinin saxlanması ilə yanaşı davam edən protokol standartlarının risklərini xatırlatdı. Protokol memarları köhnə komponentlərin audit edilmiş, icma tərəfindən təsdiqlənmiş alternativlərə üstünlük verilməsi planlarını vurğuladılar və əsas vaultların davamlılığını da qeyd etdilər. İzləyicilər sonsuz minting zəifliklərinin hələ də desentralizə edilmiş maliyyə (DeFi) üçün kritik hücum vektoru olduğunu qeyd etdilər və standartlaşdırılmış təhlükəsizlik çərçivələrinin və davamlı üçüncü tərəf qiymətləndirmələrinin çağırışlarını gündəmə gətirdilər.
Əksinə bu pozuntuya baxmayaraq Yearn-in V2 və V3 vaultlarındakı likvidlik müdaxilə edilmədi; istifadəçi depozitlərində və əməliyyatlarda heç bir fasilə bildirilmədi. Bazar iştirakçıları idarəetmə müzakirələrini və auditlərlə bağlı nəticələri yaxından izlədilər, protokol tokenomikası və daha geniş DeFi ekosistemi üçün uzunmüddətli təsirləri qiymətləndirirdilər. Hadisə, desentralizasiya edilmiş maliyyə infrastrukturunun qorunmasında diqqətli təhlükəsizlik təcrübələri və sürətli hadisə cavabının əhəmiyyətini bir daha vurğuladı.
Şərhlər (0)