Yearn Finance відновлює $2,4 млн після злому в безпрецедентній рятувальній операції

Бути пограбованим — це одне. Повернути свою власність — зовсім інше. У криптовсесвіті, де найменша помилка може призвести до алгоритмічного пограбування, потрібні холоднокровність, надійні союзники та гострий нюх до переслідування. Саме це й продемонстрував Yearn Finance. Не було часу на роздуми. Протокол, готовий до бою, розпочав гонитву з часом, щоб повернути зниклий цифровий статок. І ця історія варта уваги.

Експрес-рятування: Yearn Finance повертає $2.4M у самому серці бурі

Коли пролунала тривога, сцена вже була полем руїн. 30 листопада зловмисник створив абсурдну кількість токенів yETH — точно 2.3544 × 10^56 одиниць — через не перевірену арифметичну помилку. За кілька хвилин майже $9 мільйонів було виведено з двох DeFi-пулів: yETH і yETH-WETH на Curve.

Але Yearn Finance не дозволив хаосу закріпитися. Протокол негайно мобілізував команду для відновлення. Plume Network, Dinero, SEAL911 та ChainSecurity створили взаємодіючий “воєнний штаб”, щоб ідентифікувати та відстежити кошти. Результат: 857.49 pxETH, що еквівалентно $2.4M, було повернуто, захищено та обіцяно постраждалим користувачам.

Твіт від @yearnfi задав тон:

За допомогою команд Plume та Dinero було проведено скоординоване повернення 857.49 pxETH ($2.39m). Зусилля з відновлення залишаються активними та тривають. Усі успішно повернуті активи будуть повернуті постраждалим вкладникам.

Ця дія демонструє зростаючу зрілість DeFi-проєктів. Здатність запускати складний план порятунку криптоактивів у розпал кризи — це ознака стійкості, яку рідко можна побачити в індустрії, що часто латати дірки вже після катастрофи.

Yearn Finance, коротко кажучи, дав урок координації після злому. Поки дехто замикається у мовчанні, платформа обрала відкритість, співпрацю та дії.

Крипто під тиском: баг, мільярди токенів і виклик для DeFi

Ця експлойт-атака не була простою опортуністичною крадіжкою. Це була атака з точністю до деталей. Використовуючи самознищувані допоміжні контракти, хакер приховав свої сліди. Ці невеликі фрагменти коду, виконавши свою брудну роботу, самознищуються, як шпигуни, яких ніколи не знаходять. Такий метод вже використовувався під час злому Balancer, що свідчить про зростання рівня складності атак.

На щастя, цільовий контракт був кастомним кодом. Жодного впливу на сховища Yearn Finance V2 чи V3 не зафіксовано. Команда неодноразово наголошувала на цьому, щоб заспокоїти користувачів. У цій нестабільній галактиці DeFi довіра здобувається і відновлюється з кожним рядком коду.

Але на цьому все не закінчилося. Частину викрадених коштів було відправлено до Tornado Cash — інструменту анонімізації, добре відомого серед хакерів. Цей анонімайзер, який нині став притулком для підозрілих коштів, продовжує підживлювати протистояння між етикою, приватністю та відстежуваністю у криптосекторі.

Однак Yearn Finance не втік. Вони взяли відповідальність, визнали помилку, оголосили про постмортем-розслідування та мобілізували своїх партнерів для посилення майбутнього захисту. Це рішення було схвалене спільнотою, яка віддає перевагу визнанню помилок тисячу разів більше, ніж мовчанню.

Ця атака показує як витонченість хакерів, так і адаптивність протоколів. Крипто під тиском, але крипто швидко навчається.

У цифрах, датах та ключових фактах

• Дата атаки: 30 листопада, 16:11 EST;
• Сума викраденого: близько $9M, з яких $8M — з пулу yETH;
• Сума поверненого: $2.4M (857.49 pxETH);
• Недолік: не перевірена арифметична помилка + допоміжні контракти;
• Мобілізовані союзники: Plume, Dinero, SEAL911, ChainSecurity.

У криптоіндустрії пам’ять гостра. Ми пам’ятаємо хакера Curve Finance, який, будучи впевненим у своїй геніальності, не вагався насміхатися з спільноти після того, як вивів мільйони. Проте така зарозумілість часто недовговічна. Адже у світі коду та ланцюгів об’єднання захисників завжди дає відсіч.