Yearn recupera 2,4 milioni di dollari in asset rubati a causa di un bug di 'aritmetica non controllata'

Il team di Yearn Finance ha recuperato circa 2,4 milioni di dollari in asset rubati dall’ultimo exploit del protocollo DeFi legacy, mentre le perdite totali stimate si avvicinano ai 9 milioni di dollari, secondo un aggiornamento di lunedì. Una missione di recupero coordinata è “attiva e in corso”, si legge in un post su X.

Domenica, una vulnerabilità nel protocollo di yield-farming un tempo popolare è stata sfruttata per drenare asset dal pool stableswap Yearn Ether (yETH) e dal più piccolo pool yETH‑WETH su Curve. L’attacco, il terzo a colpire Yearn dal 2021, è stato di “simile alta complessità” rispetto al recente hack di Balancer, ha dichiarato Yearn. 

Secondo un post-mortem pubblicato lunedì, la “causa principale” deriva da un bug di “aritmetica non controllata” e da altri “problemi di design contributivi” che hanno permesso all’attaccante di mintare 2,3544x10^56 token yETH — una quantità quasi infinita — utilizzati per drenare liquidità dal protocollo. 

“Le transazioni effettive dell’exploit seguono questo schema: il grande mint è seguito da una sequenza di prelievi che trasferiscono asset reali all’attaccante, mentre la fornitura di token yETH è di fatto priva di significato”, secondo il post-mortem. 

Yearn osserva che l’attacco era mirato e non dovrebbe avere impatto sui suoi vault V2 o V3. “Qualsiasi asset recuperato con successo sarà restituito ai depositanti colpiti”, ha aggiunto il team. 

Come riportato in precedenza da The Block, l’attaccante è riuscito a spostare almeno 1.000 ETH e diversi token di liquid staking verso l’anonimizzatore Tornado Cash. Yearn, insieme alle società di sicurezza crypto SEAL 911 e ChainSecurity, ha collaborato con la rete Plume per recuperare 857,49 pxETH al momento della pubblicazione. 

BlockScout ha dichiarato che l’hacker ha distribuito “helper contract” autodistruttivi come parte dell’attacco. Questi inserti di codice sono smart contract ausiliari specializzati utilizzati per eseguire compiti automatizzati, e spesso abusati durante attacchi di flash loan che richiedono più passaggi all’interno di una singola transazione. 

L’attaccante, ad esempio, ha utilizzato un helper contract per manipolare la funzione yETH vulnerabile, mintare una quantità assurda di token e drenare il protocollo, prima di autodistruggersi. “La funzione self-destruct rimuove il bytecode, rendendo il contratto illeggibile successivamente, ma le transazioni di creazione e i log vengono conservati”, ha dichiarato BlockScout.

"L’analisi iniziale ha indicato che questo hack ha un livello di complessità simile al recente hack di Balancer, quindi vi chiediamo pazienza mentre eseguiamo l’analisi post-mortem," ha dichiarato Yearn domenica. "Nessun altro prodotto Yearn utilizza codice simile a quello colpito."