Yearn Finance victime de sa quatrième faille alors qu'un attaquant vide le coffre legacy v1

Yearn Finance subit sa quatrième faille alors qu’une attaque par prêt flash draine un coffre legacy v1, soulignant les risques persistants liés aux contrats DeFi obsolètes et aux tactiques de manipulation de prix.​

Résumé

• PeckShield rapporte qu’un attaquant a utilisé des prêts flash pour manipuler les prix dans un coffre Yearn v1 (iearn) déprécié, retirer des actifs et les convertir en un autre jeton.​
• La faille fait suite à une autre exploitation de $9 million yETH plus tôt ce mois-ci et à des piratages antérieurs en 2023 et 2021, malgré plusieurs audits des contrats du protocole.​
• Yearn indique qu’il examine les contrats actifs, renforce les contrôles de sécurité et avertit les utilisateurs d’être prudents avec les anciens coffres v1 alors que les attaques par prêt flash continuent de cibler le code DeFi legacy.

Yearn Finance, un protocole de finance décentralisée, a connu sa quatrième faille de sécurité ces dernières semaines, selon la société de sécurité blockchain PeckShield.

La dernière attaque a ciblé un contrat intelligent legacy Yearn v1, anciennement connu sous le nom de iearn, entraînant des pertes signalées, a indiqué la société. L’incident fait suite à une précédente exploitation signalée en novembre.

Yearn finance dévoile la stratégie d’attaque par prêt flash

L’attaquant a utilisé un prêt flash pour manipuler les prix des jetons dans le coffre affecté, selon l’analyse de PeckShield. Le perpetrateur a retiré des actifs iearn et les a convertis en une autre cryptomonnaie, a rapporté la société de sécurité. Le contrat compromis fait partie de Yearn v1 et n’a pas reçu de mises à jour depuis plusieurs années, selon la documentation du protocole.

Les prêts flash permettent aux emprunteurs d’obtenir de grandes quantités de cryptomonnaie sans collatéral, ce qui permet aux attaquants de manipuler les prix et de retirer rapidement des actifs, selon des experts en sécurité blockchain.

Yearn Finance a connu quatre brèches de sécurité ces dernières années. En novembre, le protocole a subi une exploitation d’émission infinie, selon des rapports. En 2023, Yearn a été victime d’un autre piratage et d’un incident séparé lié à Euler Finance, ont indiqué des sources de l’industrie. En 2021, une exploitation similaire a entraîné des pertes importantes, selon les archives du protocole.

Chaque attaque a employé des méthodes complexes, notamment des prêts flash et la manipulation de prix, selon des analyses de sécurité. Des audits de sécurité ont été réalisés sur le protocole, bien que les contrats legacy restent exposés à d’éventuelles vulnérabilités, selon des sociétés de sécurité blockchain.

Yearn Finance examine tous les contrats actifs pour détecter d’éventuelles failles, a annoncé le protocole. PeckShield et d’autres services de surveillance blockchain ont immédiatement suivi l’exploitation et ont exhorté les utilisateurs à vérifier leurs soldes et à sécuriser les fonds potentiellement vulnérables.

L’équipe du protocole n’a pas fourni de détails publics concernant les plans de récupération. Yearn Finance continue d’examiner les contrats v1 restants pour détecter d’éventuelles vulnérabilités et a recommandé la prudence lors de l’interaction avec d’anciens coffres, selon une déclaration du protocole.

Les audits et contrôles de sécurité sont renforcés pour prévenir d’autres pertes, a indiqué la société. Les attaques par prêt flash continuent de présenter des risques pour les protocoles DeFi legacy, selon des évaluations de sécurité de l’industrie.