«Yearn Finance зазнає свого четвертого експлойту, оскільки атака флеш-кредитів виснажує застаріле сховище версії 1, підкреслюючи поточні ризики через застарілі контракти DeFi і тактику маніпулювання цінами. Підсумок PeckShield повідомляє, що зловмисник використовував флеш-кредити, щоб маніпулювати цінами в застарілому сховищі Yearn v1 (iearn), виводити активи та перетворювати їх на інший токен. Хіт.», — пишуть на: www.crypto.news
Yearn Finance зазнає свого четвертого експлойту, оскільки атака флеш-позики виснажує застаріле сховище v1, підкреслюючи постійні ризики через застарілі контракти DeFi та тактику маніпулювання цінами.
Резюме
- PeckShield повідомляє, що зловмисник використовував флеш-позики, щоб маніпулювати цінами в застарілому сховищі Yearn v1 (iearn), вилучати активи та перетворювати їх на інший токен.
- Цей удар стався після окремого експлойту yETH на суму 9 мільйонів доларів на початку цього місяця та попередніх зломів у 2023 та 2021 роках, незважаючи на численні аудити контрактів протоколу.
- Yearn каже, що переглядає діючі контракти, посилює перевірки безпеки та попереджає користувачів бути обережними зі старішими сховищами v1, оскільки атаки флеш-позики продовжують націлюватися на застарілий код DeFi.
Згідно з даними фірми з безпеки блокчейнів PeckShield, Yearn Finance, децентралізований фінансовий протокол, за останні тижні зазнав четвертого порушення системи безпеки.
За словами компанії, остання атака була спрямована на застарілий смарт-контракт Yearn v1, раніше відомий як iearn, що призвело до збитків. Інцидент стався після попереднього експлойту, про який повідомлялося в листопаді.
Yearn finance оприлюднює стратегію швидкої позики для зловмисників
Відповідно до аналізу PeckShield, зловмисник використовував флеш-кредит для маніпулювання цінами на токени в ураженому сховищі. Зловмисник вилучив активи iearn і конвертував їх в іншу криптовалюту, повідомила охоронна фірма. Згідно з протокольною документацією, скомпрометований контракт є частиною Yearn v1 і не отримував оновлень протягом кількох років.
Флеш-позики дозволяють позичальникам отримувати великі суми криптовалюти без застави, що дозволяє зловмисникам маніпулювати цінами та швидко виводити активи, вважають експерти з блокчейн-безпеки.
Протягом останніх років компанія Yearn Finance зазнала чотирьох порушень безпеки. Згідно з повідомленнями, у листопаді протокол зазнав нескінченного експлойту. У 2023 році Yearn зазнав ще одного злому та окремого інциденту, пов’язаного з Euler Finance, повідомили джерела в галузі. Згідно з протокольними записами, у 2021 році подібний експлойт призвів до значних збитків.
Згідно з аналізом безпеки, у кожній атаці використовувалися складні методи, включаючи швидкі позики та маніпуляції цінами. Були проведені перевірки безпеки протоколу, хоча, згідно з даними фірм безпеки блокчейну, застарілі контракти залишаються підданими потенційній вразливості.
Згідно з протоколом, Yearn Finance перевіряє всі діючі контракти на недоліки. PeckShield та інші служби моніторингу блокчейну негайно відстежили експлойт і закликали користувачів перевірити баланси та захистити потенційно вразливі кошти.
Команда протоколу не надала публічної інформації щодо планів відновлення. Відповідно до протокольної заяви, Yearn Finance продовжує перевірку решти контрактів версії 1 на наявність вразливостей і рекомендує бути обережними під час взаємодії зі старими сховищами.
У компанії повідомили, що перевірки безпеки посилюються, щоб запобігти подальшим втратам. Відповідно до галузевих оцінок безпеки, атаки на флеш-кредити продовжують створювати ризики для застарілих протоколів децентралізованого фінансування.