yETH від Yearn Finance зазнав масштабного зламу, а зловмисники переказали 3 млн ETH через Tornado Cash

Огляд інциденту з yETH

Yearn Finance, відомий протокол децентралізованих фінансів (DeFi), зіткнувся зі значним порушенням безпеки, що стосувалося його продукту yETH. Вразливість механізму емісії дозволила зловмисникам вивести весь пул yETH однією транзакцією. Цей складний експлойт підкреслив постійні проблеми безпеки в екосистемі DeFi та актуалізував питання щодо вразливостей смартконтрактів.

Продукт yETH є інноваційним підходом до ліквідного стейкінгу. Він функціонує як індексний токен, що агрегує кілька ліквідних стейкінгових версій Ethereum (ETH). yETH складається з різних Ethereum Liquid Staking Derivatives (LSD), надаючи користувачам диверсифікований доступ до різних стейкінгових протоколів. Такий підхід знижує ризики й зберігає ліквідність застейканих активів.

Yearn Finance швидко підтвердив факт інциденту через офіційні канали, зазначивши, що основні сейфи V2 і V3 залишаються захищеними та не постраждали від експлойту. Це важливо, оскільки саме в цих сейфах розміщені значні кошти користувачів і це основні продукти протоколу. Локалізація уразливості лише в продукті yETH дозволила уникнути ширшого впливу на екосистему платформи.

Згідно з аналізом блокчейну, експлойт дозволив згенерувати майже необмежену кількість токенів yETH через вразливість емісії. Зловмисники систематично вивели мільйони доларів із пулів Balancer, які забезпечували ліквідність для торгівлі yETH. Висока точність і швидкість атаки свідчать про професіоналізм і ретельне планування виконавців.

Фінансові наслідки були значними — зловмисники вивели близько 1 000 ETH на суму приблизно 3 мільйони доларів США на момент експлойту. Для приховування слідів викрадені кошти були проведені через Tornado Cash — сервіс мікшування криптовалюти, що розриває зв’язок між адресами відправника та одержувача. Така тактика часто використовується хакерами для ускладнення повернення коштів і уникнення правоохоронців.

Першим інцидент виявив дослідник безпеки Togbe, який зафіксував підозрілі «heavy transactions» (масштабні транзакції) із різними токенами ліквідного стейкінгу (LST). До уражених протоколів увійшли Yearn, Rocket Pool, Origin і Dinero, що свідчить про скоординовану атаку на широку екосистему ліквідного стейкінгу. Хоча раннє виявлення підвищило обізнаність спільноти, воно не дозволило запобігти експлойту.

Інцидент yETH фокусує увагу на безпеці DeFi

Технічна реалізація атаки вказує на складні методи використання уразливостей у структурі смартконтрактів. Було розгорнуто кілька нових смартконтрактів, створених спеціально для експлойту. Вони виконали зловмисні транзакції й одразу самознищилися, видаливши прямі докази з блокчейну та ускладнивши аналіз. Самознищення — типова тактика для приховування слідів і перешкоджання розслідуванню.

Точна сума фінансових втрат ще перевіряється, але попередньо оцінюється, що в пулі yETH до атаки було близько 11 мільйонів доларів. Різниця між цим показником і виведеними 3 мільйонами доларів свідчить, що не всі кошти було виведено або частина активів залишилася заблокованою у протоколі. Для остаточного підрахунку втрат потрібен комплексний аудит усіх постраждалих смартконтрактів і пулів ліквідності.

Реакція спільноти DeFi була різною, що відображає постійні дискусії щодо практик безпеки в децентралізованих фінансах. Дехто висловив занепокоєння використанням Yearn Finance застарілих архітектур смартконтрактів і поставив питання, чи протокол вчасно оновлює захист для ліквідації вже відомих уразливостей. Інші відзначали, що навіть ретельно перевірений код може містити приховані слабкі місця, які стають очевидними лише після експлуатації.

Це вже не перший інцидент із безпекою в Yearn Finance. У 2021 році протокол зазнав серйозного злому сейфу yDAI із втратою 11 мільйонів доларів. Тоді було виведено приблизно 2,8 мільйона доларів до усунення вразливості. Повторення інцидентів піднімає питання щодо аудиту безпеки та ефективності управління вразливостями протоколу.

У грудні 2023 року Yearn Finance виявив помилку в скрипті, яка випадково призвела до втрати 63% позиції в казначействі. Хоча це не була атака, інцидент довів, що технічні помилки — як зовнішні, так і внутрішні — можуть спричинити значні фінансові втрати. Сумарно ці випадки стимулюють вимоги до більш жорстких тестувань, формальної верифікації смартконтрактів й посиленого моніторингу безпеки.

Експлойт yETH ілюструє ширші виклики для індустрії DeFi. Зі зростанням складності й інтеграційної взаємодії протоколів збільшується поверхня для атак. Ліквідні стейкінгові деривативи, попри свої переваги, додають нові рівні взаємодії зі смартконтрактами, які потрібно захищати. Кожна точка інтеграції й композитності — потенційна уразливість, що потребує уважного аналізу безпеки.

Використання Tornado Cash підкреслює постійні виклики для регулювання криптовалюти та правоохоронних органів. Хоча сервіси мікшування мають законне призначення для приватності, їх часто використовують для відмивання викрадених коштів. Подвійний характер таких сервісів створює напругу між захисниками приватності й регуляторами, які борються з фінансовими злочинами у криптосфері.

Цей інцидент нагадує про першочергову важливість безпеки для DeFi. Протоколи мають проводити комплексні аудити безпеки, впроваджувати програми винагород для «білих хакерів», які допомагають знаходити уразливості, а також забезпечувати швидке реагування на нові загрози. Важливо формувати культуру безпеки серед користувачів, щоб вони розуміли ризики й приймали зважені рішення щодо розміщення активів.

Злам yETH доводить, що навіть великі протоколи із значною базою користувачів залишаються вразливими до складних атак. У міру розвитку екосистеми DeFi галузі необхідно вдосконалювати системи безпеки, покращувати координацію реагування на інциденти та підвищувати прозорість безпекових практик для зміцнення довіри користувачів і забезпечення довгострокової стабільності децентралізованих фінансів.

FAQ

Які деталі атаки на Yearn Finance yETH?

30 листопада відбулася атака на сейф yETH Yearn Finance, у результаті якої було викрадено близько 1 000 ETH (орієнтовно 3 мільйони доларів США). Надалі викрадені ETH були переведені через Tornado Cash.

Яку суму викрали під час злому, і чи безпечні кошти користувачів?

Було викрадено приблизно 3 мільйони доларів США в ETH. Кошти користувачів залишаються захищеними, оскільки протокол має надійні механізми захисту й страхування для захисту активів вкладників від подібних інцидентів.

Чому викрадені ETH були переведені через Tornado Cash?

Зловмисники використали Tornado Cash для змішування й приховування коштів. Цей мікшер розриває ланцюжок транзакцій, що сильно ускладнює відстеження походження та призначення ETH, захищає приватність і перешкоджає поверненню активів.

Що таке yETH і чим він відрізняється від ETH?

yETH — це токен стандарту ERC-20, прив’язаний до ETH із паритетом 1:1, який забезпечує кросчейн-функціональність. На відміну від нативного ETH, yETH можна вільно передавати між різними блокчейнами та інтегрувати до DeFi-протоколів.

Який вплив цього інциденту на Yearn Finance та всю екосистему DeFi?

Інцидент призвів до прямих фінансових втрат Yearn Finance, завдав шкоди репутації, викликав занепокоєння щодо безпеки протоколів і смартконтрактів у DeFi, що може вплинути на довіру користувачів до платформ із дохідністю.

Як користувачі можуть захистити кошти в DeFi-протоколах і що для цього потрібно?

Використовуйте захищені гаманці, не передавайте приватні ключі третім особам, вмикайте двофакторну автентифікацію, перевіряйте наявність аудиту смартконтрактів, тестуйте протокол малими сумами, регулярно відстежуйте активність рахунку та диверсифікуйте кошти між різними протоколами.

Який план реагування Yearn Finance на злам і чи буде компенсація користувачам?

Yearn Finance оголосив про компенсацію для відшкодування втрат постраждалим користувачам. Протокол працює над поверненням викрадених коштів через аналіз блокчейну та співпрацю з правоохоронними органами. Деталі компенсації буде повідомлено після завершення заходів із повернення активів.