Протокол Yearn Finance обнародовал детали взлома своего устаревшего пула yETH, в результате которого было похищено активов на сумму около девяти миллионов долларов США. Критическая уязвимость в коде позволила злоумышленнику искусственно создавать токены ликвидности LP в практически неограниченном количестве.
Атака была выполнена в три четких этапа: сначала хакер дестабилизировал внутренний механизм пула, затем использовал сгенерированные токены для вывода средств и, наконец, вызвал переполнение через функцию инициализации. Разработчики подчеркнули, что их флагманские продукты v2 и v3 не затронуты, а часть украденных средств уже возвращена.
Этот инцидент служит суровым напоминанием о критической важности регулярных аудитов безопасности и своевременного отказа от поддержки устаревших смарт-контрактов в экосистеме децентрализованных финансов. Yearn выражает благодарность ChainSecurity за поддержку анализа первопричин и SEAL 911 за помощь в реагировании на инциденты
По материалам
Уникальность