Yearn - REKT 2

rekt imalatı…

…nihayetinde.

Yearn, lider tablosuna ilk girişinden bu yana iki yıldan fazla bir süre sonra 10 milyon dolardan fazla zarar ederek rekt.news'e geri döndü.

Birçok kişi tarafından DeFi'ın en güvenilir ve güvenli platformlarından biri olarak kabul edilen Yearn, sektörün en basit farming fırsatlarından bazılarını sunarak adını duyurdu.

Saldırıya uğrayan sabit yUSDT kontratı, üç yıl önce, Yearn'ün Andre Cronje'ye ait iearn finance olduğu dönemde deploy edilmişti.

Stratejinin yerini daha yeni sürümler alırken, orijinal kontratta hala bol miktarda fon kaldı. Sonraki Yearn kasa kontratları durumdan etkilenmiyor.

Twitter'daki son dakika uyarısına rağmen sabit kontratlara müdahale edilemiyor.

Ekip üyesi storming0x saldırıyı kabul etti ve sonrasında Yearn kullanıcılarına mevcut kontratların etkilenmediği konusunda güvence verdi.

DeFi'ın en köklü protokollerinden birinde milyonlarca dolarlık bir güvenlik açığının ortaya çıkması 1156 gün sürdü.

Nasıl oldu da bu kadar uzun zaman sonra gerçekleşti?

Kaynak: Samczsun, OtterSec, SlowMist

Saldırgan, iearn yUSDT token kontratındaki bir hatalı yapılandırmadan yararlandı.

Token, Aave, Compound, DYDX ve BzX'in Fulcrum'undaki USDT pozisyonları dahil olmak üzere, getiri sağlayan (yield bearing) tokenlara dayalı bir sepet üzerinden getiri sağlıyordu.

Ancak lansmanından bu yana yUSDT, Fulcrum USDT kontratı yerine Fulcrum USDC adresinin kullanıldığı bir kopyala/yapıştır hatası gibi görünen bir hata içeriyordu.

İstismarcı, yUSDT'nin temel pay fiyatlarını büyük ölçüde manipüle etmek için yanlış yapılandırmadan yararlanabildi ve yalnızca 10 bin USDT kullanarak büyük miktarda (1,2 katrilyon) yUSDT bastı.

Theori'den junomon.eth adım adım bir analiz yayınladı:

İstismarcının adresi 1: 0x5bac20beef31d0eccb369a33514831ed8e9cdfe0

İstismarcının adresi 2: 0x16af29b7efbf019ef30aae9023a5140c012374a5

İstismarcının adresi 3: 0x6f4a6262d06272c8b2e00ce75e76d84b9d6f6ab8

Saldırı işlemi 1: 0xd55e43c1…

Saldırı işlemi 2: 0x8db0ef33…

Basılan yUSDT, daha sonra toplam 11,4 milyon ABD doları olan diğer stable’larla swaplandı, BlockSec aşağıdaki dökümü sağladı:

Saldırgan, Tornado Cash üzerinden finanse edildi ve aklama için saldırı sonrası 1000 ETH yatırdı. Bu yazı yazıldığı sırada, ilk iki istismarcı adresinin her biri yaklaşık 1,5 milyon dolarlık varlığa ve 3. adres 7,4 milyon DAI’ye sahipti.

Certik, Şubat 2020'de bir iearn Finance denetimi gerçekleştirmişti, ancak yalnızca yDAI kontratının incelendiği görülüyor.

Cronje'nin tercih ettiği yöntem olan test in prod yaklaşımı, pek çok olayın sorumlusuydu ve rekt.news'in ilk içeriklerinin çoğunu sağladı.

Aslında genel olarak, yeni protokoller ve özellikleri yıllar içinde değil de, saatler veya günler içinde rekt olurdu…

Her saldırının ardından, merkeziyetsiz monopoly'de bir büyüme yaşanırdı.

Daha geniş Cronje-verse, Ekim 2021'de CREAM Finance'in ikinci kez hacklenmesinin ardından tartıştığımız üzere, kendi lider tablosuna sahip olacak kadar olay yaşadı.

Önemli kayıplara rağmen, bu davanın yalnızca eski ve artık kullanılmayan bir stratejiyi etkilemesi ve mevcut Yearn stratejilerindeki 450 milyon dolarlık TVL'i tehdit etmemesi büyük şans.

Geçen sefer yazdığımız gibi

Hiçbir protokol "TBTF" (başarısız olamayacak kadar büyük) değildir.

Önce Sushi, şimdi de Yearn

DeFi öncüleri için rekt olma bakımından büyük bir hafta.

Bakalım şimdi sırada kim var?

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.