2025 жылғы 30 қарашада шамамен 21:11 UTC уақытында шабуыл жасаушы Yearn Finance-тың ескі yETH токенінің контрактында эмиссиялық осалдықты пайдаланды. Бір транзакцияда шамамен 235 триллион yETH токенін жасап алған шабуылдаушы Curve-де негізгі Stable-swap пулынан шамамен 8 миллион доллар және yETH-WETH пулынан 0,9 миллион долларды ұрлап, жалпы шығындарды шамамен 9 миллион долларға жеткізді. Жол ізін жасырғысы келген қаражаттар кейін Tornado Cash миксері арқылы бағытталды.
Yearn Finance оқиғаны дереу растады және бұзылудың тек мұраланған yETH-ке арналған арнайы Stable-swap іске асыруына әсер еткенін, V2 немесе V3 Vault инфрақұрылымын бұзған жоқ екенін түсіндірді; олардың жалпы құндылығы 600 миллион доллардан асады. Бұл оқиға Yearn протоколының тарихындағы соңғы қауіпсіздік бұзылуы болды, 2021 жылғы бұрынғы осалдықтардан және 2023 жылғы multisignature-мен байланысты мәселелерден кейін мұраланған кодты қорғау бойынша қиындықтарды тағы да көрсетіп тұр.
SEAL 911 және ChainSecurity сияқты қауіпсіздік фирмаларының блокчейн талдауы іске асқаннан кейін өзін-өзі өшіруге арналған уақытша көмекші келісімшарттардың қолданылғанын көрсетті, бұл сот-мұрағаттық талдауларды қиындатты. Шабуылдаушы осы келісімшарттарды пайдаланып yETH жеткілігін арттырып, стандартты minting шектеулерін іске қоспай-ақ нақты активтерді шығарды. Транзакциялар желісіндегі ескертулер дереу белгіледі, ал Yearn-тің басқару қауымдастығы кейін өтемақы мүмкіндіктері туралы талқылауға кірісті.
Осы exploit-тан кейін протоколдың түпнегізгі YFI токені шамамен 5,5%-ға кенеттен құлдырады, инвесторлардың сенімі төмендеді және протокол кіріс болжамдарының уақытша төмендеуін көрсетті. Сауда көлемі артып, арбитраж боттары мен реактивті трейдерлер бағаның ауытқуларын пайдаланып, Yearn-мен байланысты нарықтардағы құбылмалылықты одан әрі күшейтті.
Осы бұзылуға жауап ретінде Yearn Finance бірнеше бағыттағы қалпына келтіру жоспарын іске қосты: зардап шеккен мүдделі тараптарға $3.2 миллион USDC Merkle airdrop-ты тағайындау туралы басқару ұсынысын мақұлдау, minting лимиттерін күшейту үшін v1.1 патчын енгізу және барлық stable-swap пулдарында нақты уақыттағы мониторинг құралдарын енгізу. Сонымен қатар, байланысты табылған кемшіліктер үшін $500 000 көлемінде bug bounty ұсынылды; мақсат — кодтың қауіпсіздігін күшейтіп, пайдаланушылардың сенімін қалпына келтіру.
Бұл бұзылыс мұраланған DeFi контрактілерін жаңартылып жатқан протокол стандарттарымен бірге ұстаудың қауіптерін еске салды. Протокол архитекторлары мұраланған компоненттерді аудиттелген, қауымдастықпен тексерілген баламаларға ауыстыру жоспарын айқындап, негізгі Vault-тардың тұрақтылығын ерекше атап өтті. Қадағалаушылар шексіз-мінт осалдықтары децентрализденген қаржыда маңызды шабуыл векторы болып қала беретінін атап, стандартталған қауіпсіздік құрылымдары мен үнемі үшінші тараптық шолу қажеттігін көрсетті.
Бұзылуға қарамастан Yearn-тің V2 және V3 Vault-дарындағы сұйықтық тұтас сақталды, пайдаланушы салымдары немесе операцияларға ешқандай бұзылыс тіркелмеді. Нарық қатысушылары басқару талқылауларын және аудит нәтижелерін мұқият бақылап, протокол токеномикасына және кең DeFi экожүйесіне ықтимал ұзақ мерзімді әсерлерін бағалады. Оқиға децентрализденген қаржы инфрақұрылымын қорғауда сақтық пен оқиғаға жылдам жауап берудің маңызды екенін көрсетті.
Пікірлер (0)