Yearn Finance подверглась четвертой атаке, злоумышленник выводит средства из устаревшего хранилища v1

Yearn Finance терпит четвертую уязвимость, поскольку атака с использованием флеш-займов выводит из строя наследственный сейф v1, подчеркивая продолжающиеся риски устаревших DeFi контрактов и тактик манипуляции ценами.​

Резюме

• PeckShield сообщает, что злоумышленник использовал флеш-займы для манипуляции ценами в устаревшем сейфе Yearn v1 (iearn), выводил активы и конвертировал их в другой токен.​
• Этот инцидент последовал за отдельной атакой $9 миллион yETH, произошедшей ранее в этом месяце, а также за предыдущими взломами в 2023 и 2021 годах, несмотря на многочисленные аудиты контрактов протокола.​
• Yearn заявляет, что проводит проверку активных контрактов, усиливает меры безопасности и предупреждает пользователей о необходимости осторожности при работе с более старыми сейфами v1, поскольку атаки с использованием флеш-займов продолжают нацеливаться на устаревший DeFi-код.

Yearn Finance, децентрализованный финансовый протокол, за последние недели пережил четвертую уязвимость, сообщает компания PeckShield.

Последняя атака была направлена на наследственный смарт-контракт Yearn v1, ранее известный как iearn, что привело к зафиксированным потерям, заявила компания. Этот инцидент произошел после предыдущей уязвимости, о которой сообщалось в ноябре.

Yearn finance раскрывает стратегию злоумышленника с использованием флеш-займов

Злоумышленник использовал флеш-займ для манипуляции ценами токенов внутри пострадавшего сейфа, согласно анализу PeckShield. По данным компании, злоумышленник вывел активы iearn и конвертировал их в другую криптовалюту. Уязвимый контракт является частью Yearn v1 и не обновлялся несколько лет, согласно документации протокола.

Флеш-займы позволяют заемщикам получать большие объемы криптовалюты без залога, что дает злоумышленникам возможность быстро манипулировать ценами и выводить активы, отмечают эксперты по безопасности блокчейна.

Yearn Finance за последние годы пережил четыре инцидента безопасности. В ноябре протокол столкнулся с уязвимостью бесконечного минтинга, сообщают источники. В 2023 году Yearn снова подвергся взлому и отдельному инциденту, связанному с Euler Finance, сообщили отраслевые источники. В 2021 году подобная уязвимость привела к значительным потерям, согласно записям протокола.

Каждая атака использовала сложные методы, включая флеш-займы и манипуляцию ценами, отмечают аналитики по безопасности. Были проведены аудиты безопасности протокола, однако наследственные контракты остаются уязвимыми для потенциальных угроз, утверждают компании по безопасности блокчейна.

Yearn Finance проводит проверку всех активных контрактов на наличие уязвимостей, объявил протокол. PeckShield и другие сервисы мониторинга блокчейна сразу отследили уязвимость и призвали пользователей проверить балансы и обезопасить потенциально уязвимые средства.

Команда протокола не предоставила публичных деталей о планах восстановления. Yearn Finance продолжает проверку оставшихся контрактов v1 на наличие уязвимостей и рекомендует проявлять осторожность при взаимодействии с более старыми сейфами, говорится в заявлении протокола.

Меры по усилению аудитов безопасности и проверок предпринимаются для предотвращения дальнейших потерь, заявила компания. Атаки с использованием флеш-займов продолжают представлять риски для устаревших протоколов децентрализованных финансов, отмечают отраслевые оценки безопасности.