Yearn、‘未検証の算術’バグに起因する240万ドルの盗難資産を回収

Yearn Finance チームは、レガシー DeFi プロトコルに対する最近の悪用から盗まれた資産のうち、約 240 万ドル相当を回収したと発表しました。総損失額は約 900 万ドルに上ります。この日曜日の攻撃は、Curve 上の Yearn Ether (yETH) ステーブルスワッププールにおける脆弱性を悪用したもので、最近の Balancer ハックと類似した複雑さを持つとされています。事後分析によると、根本原因は「未検証の算術」バグとその他の設計上の問題であり、これにより攻撃者は事実上無限量の yETH トークンを鋳造し、プロトコルから流動性を引き出しました。Yearn は、この攻撃は標的型であり、V2 または V3 のボールトには影響しないこと、また回収された資産は影響を受けた預金者に返還されることを確認しました。攻撃者は少なくとも 1,000 ETH と複数のリキッドステーキングトークンを Tornado Cash に送金しましたが、Yearn はセキュリティ企業と協力して 857.49 pxETH を回収しました。攻撃には、複雑な手順を実行するために自己破壊型の「ヘルパーコントラクト」が使用されました。

(出典：The Block)