Yearn recupera 2.4 millones de dólares en activos robados debido a un error de "aritmética no verificada"

El equipo de Yearn Finance ha recuperado aproximadamente 2,4 millones de dólares en activos robados del exploit más reciente al protocolo DeFi legacy, mientras que las pérdidas totales estimadas se acercan a los 9 millones de dólares, según una actualización del lunes. Una misión de recuperación coordinada está “activa y en curso”, según una publicación en X.

El domingo, una vulnerabilidad en el que alguna vez fue un popular protocolo de yield-farming fue explotada para drenar activos del pool stableswap Yearn Ether (yETH) y de un pool más pequeño yETH‑WETH en Curve. El ataque, el tercero dirigido a Yearn desde 2021, fue de una “complejidad igualmente alta” al reciente hackeo de Balancer, según Yearn. 

De acuerdo con un post-mortem publicado el lunes, la “causa raíz” proviene de un bug de “aritmética no verificada” y otros “problemas de diseño contribuyentes” que permitieron al atacante mintear 2,3544x10^56 tokens yETH — una cantidad casi infinita — que se usaron para drenar la liquidez del protocolo. 

“Las transacciones del exploit siguen este patrón: el gran minteo es seguido por una secuencia de retiros que mueven activos reales al atacante, mientras que la oferta de tokens yETH es efectivamente irrelevante”, según el post-mortem. 

Yearn señala que el ataque fue dirigido y no debería afectar a sus bóvedas V2 o V3. “Cualquier activo recuperado con éxito será devuelto a los depositantes afectados”, agregó el equipo. 

Como The Block informó previamente , el atacante pudo mover al menos 1.000 ETH y varios tokens de staking líquido al anonimador Tornado Cash. Yearn, junto con las firmas de seguridad cripto SEAL 911 y ChainSecurity, trabajó con la red Plume para recuperar 857,49 pxETH al momento de la publicación. 

BlockScout indicó que el hacker desplegó “contratos auxiliares” autodestructivos como parte del ataque. Estos fragmentos de código son contratos inteligentes auxiliares especializados que se utilizan para realizar tareas automatizadas, y a menudo son abusados durante ataques de flash loan que requieren múltiples pasos dentro de una sola transacción. 

El atacante, por ejemplo, utilizó un contrato auxiliar para manipular la función vulnerable de yETH, mintear una cantidad absurda de tokens y drenar el protocolo, antes de autodestruirse. “La autodestrucción elimina el bytecode, haciendo que el contrato sea ilegible después, pero las transacciones de creación y los logs se preservan”, dijo BlockScout.

"El análisis inicial indicó que este hackeo tiene un nivel de complejidad similar al reciente hackeo de Balancer, así que por favor tengan paciencia mientras realizamos el análisis post-mortem", dijo Yearn el domingo. "No hay ningún otro producto de Yearn que utilice un código similar al que fue afectado."