Yearn "unchecked arithmetic" xatosidan o'g'irlangan 2.4 million dollar aktivlarni qaytarib oldi

Yearn Finance jamoasi yaqinda sodir bo‘lgan eski DeFi protokolidagi ekspluatatsiyadan o‘g‘irlangan taxminan 2.4 million dollar qiymatidagi aktivlarni qaytarib oldi, umumiy yo‘qotishlar esa 9 million dollarga yaqinlashmoqda, deb dushanba kuni yangilanishda aytildi. X’da e’lon qilingan postga ko‘ra, muvofiqlashtirilgan tiklash missiyasi “faol va davom etmoqda”.

Yakshanba kuni, bir vaqtlar mashhur bo‘lgan yield-farming protokolida aniqlangan zaiflik orqali Yearn Ether (yETH) stableswap pooli va Curve’dagi kichikroq yETH‑WETH poolidan aktivlar chiqarib yuborildi. Bu hujum, 2021-yildan beri Yearnga qaratilgan uchinchi hujum bo‘lib, Yearn’ning aytishicha, yaqinda sodir bo‘lgan Balancer xakerligiga “o‘xshash yuqori murakkablikka” ega edi. 

Dushanba kuni e’lon qilingan post-mortemga ko‘ra, “asosiy sabab” “tekshirilmagan arifmetik” xatosi va boshqa “dizaynga oid muammolar” bo‘lib, ular xakerga 2.3544x10^56 yETH tokenlarini — deyarli cheksiz miqdorda — chiqarishga imkon berdi va protokoldan likvidlikni chiqarib olish uchun ishlatildi. 

“Haqiqiy ekspluatatsiya tranzaksiyalari quyidagi naqshga amal qiladi: ulkan miqdordagi mintdan so‘ng, ketma-ket yechib olishlar amalga oshiriladi va haqiqiy aktivlar xakerga o‘tkaziladi, yETH tokenlarining umumiy hajmi esa amalda hech qanday ahamiyatga ega emas,” deyiladi post-mortemda. 

Yearn ta’kidlashicha, hujum aniq maqsadga qaratilgan bo‘lib, uning V2 yoki V3 vaultlariga ta’sir qilmasligi kerak. “Qaytarib olingan har qanday aktivlar zarar ko‘rgan depozitorlarga qaytariladi,” deya qo‘shimcha qildi jamoa. 

The Block ilgari xabar berganidek , xaker kamida 1,000 ETH va bir nechta likvid staking tokenlarini Tornado Cash anonimlashtiruvchisiga o‘tkazishga muvaffaq bo‘lgan. Yearn, kripto xavfsizlik firmalari SEAL 911 va ChainSecurity bilan birga, Plume network yordamida matbuot vaqti holatiga ko‘ra 857.49 pxETH’ni qaytarib oldi. 

BlockScout xaker hujum davomida o‘z-o‘zini yo‘q qiluvchi “helper contracts” joylashtirganini aytdi. Ushbu kod qo‘shimchalari avtomatlashtirilgan vazifalarni bajarish uchun maxsus yordamchi smart-kontraktlar bo‘lib, ko‘pincha bir tranzaksiyada bir nechta bosqichlarni talab qiladigan flash loan hujumlarida suiiste’mol qilinadi. 

Xaker, masalan, yordamchi kontrakt yordamida zaif yETH funksiyasini manipulyatsiya qilib, juda ko‘p tokenlarni mint qilgan va protokolni bo‘shatgan, so‘ngra o‘zini yo‘q qilgan. “Self-destruct baytkodni olib tashlaydi, shundan so‘ng kontrakt o‘qilmaydi, lekin yaratilish tranzaksiyalari va loglar saqlanib qoladi,” dedi Blockscout.

"Dastlabki tahlil ushbu xakerlik yaqinda sodir bo‘lgan Balancer xakerligiga o‘xshash yuqori murakkablik darajasiga ega ekanini ko‘rsatdi, shuning uchun post-mortem tahlilini o‘tkazayotganimizda sabr qiling," dedi Yearn yakshanba kuni. "Ta’sir ko‘rsatgan koddan foydalanadigan boshqa Yearn mahsuloti yo‘q."