Yearn Finance黑客攻击：Yearn Finance从yETH黑客攻击中追回240万美元

Yearn Finance 从复杂的 yETH 黑客攻击中恢复了 240 万美元，调查仍在继续，突显了传统 DeFi 风险和持续的恢复努力。

Yearn Finance 已确认从最近的 yETH 漏洞中恢复了 240 万美元。这是限制损失的持续任务中的重要一步，此前一次复杂的攻击从传统合约中耗尽了近 900 万美元。

Yearn 确认复杂攻击后部分恢复

根据 Yearn 的更新，此次恢复了 857.49 pxETH，这是通过与 Plume 和 Dinero 协调获得的。收回的资产将返还给受影响的用户。这次漏洞利用基于旧的 yETH stableswap 池，以及 Curve 上较小的 yETH 到 WETH 资产池。这次攻击复杂度很高，与最近对 Balancer 的攻击类似，展示了过时 DeFi 架构中长期存在的危险。

这一事件发生在 11 月 30 日，通过使用非标准代码利用了自定义池。这个自定义合约存在严重的算术错误。这个缺陷允许攻击者在一个步骤中铸造大量的 yETH。然后攻击者将这些铸造的供应交换为实际资产，在调查人员注意到问题之前耗尽了两个受影响池的流动性。

相关阅读：Yearn Finance 黑客攻击：Yearn Finance 遭受重大 yETH 黑客攻击，ETH 被发送到混币器 | Live Bitcoin News

此外，研究人员通过 Tornado Cash 追踪到近 1,000 ETH，约 300 万美元。这一举动隐藏了部分被盗资金。然而，攻击者在钱包中留下了其他资产，这使得恢复工作成为可能。这些资金的存在为 Yearn 提供了协商返还 pxETH 的机会。此外，攻击者部署了临时辅助合约，这些合约会自我销毁，使链上取证更加困难。

随着恢复工作继续进行，Yearn 鼓励受影响的用户通过 Discord 寻求支持。团队表示正在审查旧合约以避免任何进一步的问题。他们还强调，这次漏洞利用并未影响 V2 或 V3 保险库。这些更先进的保险库有独立的代码路径，并且受益于整个生态系统更好的安全标准。

持续调查突显 DeFi 中的传统风险

Yearn 的报告称，被攻击的池使用了其核心产品中不再存在的过时逻辑。这种较旧的 stableswap 机制用于通过一些自定义逻辑管理不变量。这种设计存在被攻击者利用的数值错误。此外，Yearn 确认这是自 2021 年以来协议遭受的第三次重大打击，表明传统组件仍然是高风险入口点。

行业观察人士注意到，这次攻击与其他最近的 DeFi 黑客攻击有类似的模式。高级对手现在越来越多地将数值漏洞与隐私工具和自毁合约结合起来。这些方法降低了可追踪性并测试标准恢复工作流程。然而，即使是 Yearn 的持续进展也表明，协调一致的努力仍然能取得一些成功，特别是当攻击者留下一些未受保护的东西时。

此外，该协议强调赔偿不会等待法院程序和长时间谈判。这种方法是为了尽快支持存款人并最大限度地减少对依赖历史 Yearn 基础设施的用户的干扰。如果链上条件允许进一步检索资产，可能会发生进一步的恢复。

同时，DeFi 专家表示，这一事件也突显了淘汰传统合约的重要性。他们表示，较旧的系统在系统中创造了更多的漏洞，特别是当各种流动性池仍然存在于旧的和过时的池中时。随着调查的继续，Yearn 的步骤可能会导致其他平台加强审计并最大限度地减少在市场关键时期暴露于类似清算触发失败的风险。

这篇文章《Yearn Finance 黑客攻击：Yearn Finance 从 yETH 黑客攻击中恢复 240 万美元》首次发表于 Live Bitcoin News。