🚀 Trade Smarter with Beirman Capital!
Join one of the most trusted Forex & CFD brokers. Get tight spreads, fast execution, and expert support.
تتعامل Yearn Finance مع خرق أمني جديد بعد أن استغل أحد المهاجمين عقد رمز yETH الخاص بها واستنزف ملايين الدولارات من أصول ETH والأصول السائلة من مجموعات Balancer.
ملخص
- استهدف الاستغلال عقد yETH أقدم، مما يسمح للمهاجم بسك كمية غير محدودة من الرموز وإفراغ مجموعة Balancer.
- تم نقل حوالي 1000 ETH عبر Tornado Cash بعد وقت قصير من الهجوم، مع وجود المزيد من الأصول التي لا تزال موجودة في محافظ المهاجم.
- وأكدت شركة Yearn أن المشكلة معزولة عن V2 وV3 Vaults الخاصة بها، وهي تقوم بإعداد تقرير مفصل عن الحادث.
وقعت الحادثة في أواخر 30 نوفمبر/تشرين الثاني عندما فعّل مهاجم ثغرة أمنية غير محدودة في عقد yETH. ثمّ، قاموا بسكّ كمية هائلة من yETH، تجاوزت 235 تريليون رمز، في معاملة واحدة.
باستخدام هذه الرموز، تسلل المهاجم بسرعة عبر منصات Balancer، مانعًا بذلك أصولًا حقيقية، بما في ذلك ETH ومشتقات staking شائعة. تُظهر الآثار الأولية تدفق ما يقارب 3 ملايين دولار عبر Tornado Cash بعد وقت قصير من الاستغلال، بينما لا يزال عنوان المهاجم يحتفظ بأصول إضافية مرتبطة بالحدث.
استغلال معزول لمنتج yETH القديم
تُظهر بيانات بلوكتشين أن مجمع تبادل العملات المستقرة yETH قد أُفرغ في غضون دقائق، مما خلّف فجوةً تُقدّر بنحو 2.8 مليون دولار. وأفادت شركة Yearn Finance ( YFI ) بأن المشكلة تكمن في إصدار أقدم من yETH ولا تمس خزائنها V2 أو V3. كما أفادت البروتوكولات المُطوّرة على Yearn V3، بما في ذلك Katana، بعدم وجود أي تعرّض لها.
ظهرت عدة عقود مساعدة قبل لحظات من الهجوم واختفت من خلال مكالمات التدمير الذاتي بمجرد تجفيف المسبح، مما جعل تتبع المسار أكثر صعوبة.
ربطت فرق الأمن التي راجعت المعاملات، بما في ذلك المدققون الذين يتتبعون منتجات Yearn القديمة، الحدث بضعف سك طويل الأمد داخل منطق رمز yETH، بدلاً من وجود مشكلة في بنية قبو Yearn الحالية.
ويحافظ البروتوكول على برنامج مكافأة الأخطاء الحية مع مكافآت تصل إلى 200 ألف دولار للاكتشافات الحرجة، على الرغم من عدم الإعلان عن مسار الاسترداد حتى الآن.
تشتد الحركة على السلسلة بعد استنزاف السيولة
بعد انهيار المجمع بفترة وجيزة، رصد مستخدم X، Togbo، عدة عمليات نقل لـ 100 دفعة من ETH عبر Tornado Cash. تم خلط حوالي 1000 ETH إجمالاً في الساعات التي تلت الاستغلال. لا يزال المهاجم يحتفظ بأصول إضافية تقدر بملايين الدولارات عبر محافظ متعددة.
كان مجمع yETH يحمل ما يقرب من 11 مليون دولار قبل الاختراق، وبينما لا يزال رقم الخسارة النهائي قيد المراجعة، قال Yearn إن أموال المستخدمين داخل الخزائن النشطة تظل آمنة.
يُضاف هذا الحادث إلى السجل الطويل للبروتوكول في إدارة المخاطر القديمة، بعد سنوات من استغلاله لثغرة yDAI في عام 2021 وخطأ في تكوين سندات الخزانة في عام 2023 لم يؤثر على المودعين. انخفض سعر YFI بنحو 4% بعد الحدث، وتداول بالقرب من 4002 دولار وقت النشر.
Beirman Capital – Your Gateway to Global Markets
Trade Forex, Commodities & Indices with confidence. Join traders worldwide who trust Beirman Capital.
