Yearn Finance perd 9 millions de dollars dans une exploitation en transaction unique du coffre-fort yETH
Yearn Finance a subi une importante faille de sécurité, entraînant la perte d'environ 9 millions de dollars.
L'exploit a ciblé un pool de swap stable hérité associé au token yETH du protocole qui a permis aux pirates de créer un nombre infini de pièces.
Faille dans le contrat yETH
La société de sécurité blockchain Peckshield a été la première à signaler l'incident via X, déclarant : "Yearn Finance a subi une attaque entraînant une perte totale d'environ 9 millions de dollars."
Selon les analystes, l'attaquant a exploité une vulnérabilité critique dans le contrat du token yETH qui leur a permis de créer de nouveaux yETH sans fournir de garantie adéquate, gonflant ainsi efficacement l'offre de tokens à volonté. Cette faille a ensuite été utilisée pour vider la liquidité d'un pool en dehors des produits de coffre-fort principaux de Yearn.
L'exploit ciblait un contrat personnalisé conçu pour agréger des dérivés d'Ethereum stakés tels que stETH et rETH. Le protocole a ensuite partagé que le pool yUSND et les coffres de Nerite sont restés sécurisés et n'ont pas été impactés par la défaillance du protocole. Suite à l'attaque, les responsables ont blanchi plus de 3 millions de dollars en ETH volés via Tornado Cash. Pendant ce temps, les 6 millions de dollars restants en divers actifs Ethereum stakés demeurent dans leur adresse de portefeuille (0xa80d…c822) selon les derniers scans de la blockchain.
Yearn a également confirmé la compromission sur X. Il a rapporté que 0,9 million de dollars ont été perdus du pool stableswap yETH-WETH sur Curve, tandis que 8 millions de dollars supplémentaires ont été vidés du pool affecté. Il a également été conseillé aux utilisateurs touchés d'ouvrir un ticket de support sur le Discord du projet.
Premiers résultats de l'enquête
La plateforme a annoncé qu'elle a mis en place une cellule de crise, comprenant SEAL911 et son partenaire d'audit, Chain Security, avec une enquête post-mortem complète en cours.
Les premiers résultats suggèrent que l'incident partage un niveau similaire de complexité technique avec le récent piratage de Balancer. Cet accès non autorisé a entraîné le vol de plus de 120 millions de dollars à travers le protocole principal de la plateforme et plusieurs forks.
Les analystes on-chain ont retracé l'événement Balancer à un bug de perte de précision dans l'arithmétique à virgule fixe entière utilisée pour calculer les facteurs d'échelle dans les Composable Stable Pools, qui sont optimisés pour les paires d'actifs quasi-paritaires comme USDC/USDT ou WETH/stETH.
SlowMist a ensuite partagé que la faille a conduit à des écarts de prix subtils mais répétés pendant les swaps, particulièrement lorsque les attaquants exécutaient plusieurs opérations dans une seule transaction en utilisant la fonction de swap par lots.
Pendant ce temps, l'incident de Yearn survient peu après que l'échange coréen Upbit a subi sa propre faille de sécurité, qui a entraîné la perte de 50 millions de dollars en Ethereum.
L'article Yearn Finance perd 9 millions de dollars dans un exploit en une seule transaction du coffre-fort yETH est apparu en premier sur CryptoPotato.
Vous aimerez peut-être aussi
Le Bitcoin Chute Sous les 90 000 $ avec 520 M $ de Liquidations, les Données On-chain Suggèrent une Chute Plus Profonde
Les Baleines d'Ethereum Signalent une Remontée Haussière, Potentiel de Hausse à 3 750 $
