Yearn Finance ने रविवार को अपने yETH प्रोडक्ट पर एक सक्रिय एक्सप्लॉइट की पुष्टि की, जब एक हमलावर ने अनंत मात्रा में yETH मिंट किया और Balancer पूल्स से लिक्विडिटी ड्रेन कर दी।
इस घटना ने ऑन-चेन मूवमेंट को बढ़ावा दिया, जिसमें कई 100 ETH ट्रांसफर शामिल थे जो Tornado Cash के माध्यम से रूट किए गए थे।
इन्फिनिट-मिंट अटैक से Balancer पूल्स की लिक्विडिटी खत्म
ब्लॉकचेन डेटा के अनुसार, एक्सप्लॉइट 30 नवंबर को 21:11 UTC के आसपास हुआ, जब एक मैलिसियस वॉलेट ने एक अनंत-मिंट अटैक को अंजाम दिया, जिसने एक ही ट्रांजेक्शन में लगभग 235 ट्रिलियन yETH क्रिएट कर दिया।
Nansen के अलर्ट सिस्टम ने बाद में हमले की पुष्टि की और इसे yETH टोकन कॉन्ट्रैक्ट में एक अनंत-मिंट वल्नरेबिलिटी के रूप में पहचाना, न कि Yearn के Vault इन्फ्रास्ट्रक्चर में।
हमलावर ने नए मिंट किए गए yETH का उपयोग करके वास्तविक एसेट्स—मुख्य रूप से ETH और लिक्विड स्टेकिंग टोकन (LSTs)—को Balancer लिक्विडिटी पूल्स से ड्रेन कर दिया। प्रारंभिक अनुमानों के अनुसार लगभग $2.8 मिलियन का एसेट्स हटाए गए थे।
लगभग 1,000 ETH हमले के तुरंत बाद Tornado Cash के माध्यम से लौंडर किया गया। एक्सप्लॉइट में उपयोग किए गए कई हेल्पर कॉन्ट्रैक्ट्स को घटना के कुछ मिनट पहले डिप्लॉय किया गया और ट्रेल को अस्पष्ट करने के लिए बाद में सेल्फ-डिस्ट्रक्ट कर लिया गया।
Yearn ने कहा कि V2 और V3 वॉल्ट्स प्रभावित नहीं हुए थे, और वल्नरेबिलिटी केवल पुराने yETH इम्प्लीमेंटेशन तक ही सीमित प्रतीत होती है।
प्रोटोकॉल का टोटल वैल्यू लॉक्ड (TVL) $600 मिलियन से अधिक बना हुआ है, CoinGecko के अनुसार, जिससे पता चलता है कि कोर सिस्टम्स से समझौता नहीं किया गया था।
YFI प्राइस स्पाइक हुई क्योंकि मार्केट ने शुरुआती घबराहट को उलट दिया
हालांकि, मार्केट रिएक्शन ने एक अप्रत्याशित डायनामिक क्रिएट कर दी। सोशल मीडिया और ब्लॉकचेन एनालिस्ट्स द्वारा एक्सप्लॉइट का फ्लैग किए जाने के तुरंत बाद, YFI की प्राइस तीव्रता से बढ़कर लगभग $4,080 से $4,160 तक एक घंटे के भीतर चढ़ गई।
चाल व्यापक Yearn इकोसिस्टम के नेगेटिव हेडलाइन्स के बावजूद हुई।
प्राइस रिएक्शन प्रारंभिक मिनटों में घटना की मार्केट मिसइंटरप्रिटेशन से जुड़ा प्रतीत होता है। “Yearn एक्सप्लॉइट” की प्रारंभिक दावों ने YFI पर हाई-लेवरेज शॉर्ट पोजिशन लेने के लिए प्रेरित किया, क्योंकि टोकन की पतली लिक्विडिटी और हैक इवेंट्स के दौरान ऐतिहासिक रूप से आक्रामक डाउनसाइड मूव्स होते हैं।
अटैक केवल yETH तक ही सीमित था और Yearn की Vaults तक नहीं पहुंचा, और शॉर्ट-सेलर्स ने अपनी पोजीशन्स कवर करनी शुरू कर दीं। इससे एक छोटा शॉर्ट स्क्वीज़ और वोलटिलिटी-चालित प्राइस स्पाइक को ट्रिगर हुआ।
YFI की सर्क्युलेटिंग सप्लाई केवल 33,984 टोकन्स है, जो इसे सबसे कम लिक्विड बड़े DeFi गवर्नेंस एसेट्स में से एक बनाती है। यह संरचना प्राइस मूवमेंट्स को बढ़ाती है, खासकर अनिश्चितता या तेजी से लिक्विडेशन फ्लो के दौरान। डेरिवेटिव्स डेटा ने भी दिखाया कि अटैक की सूचना के तुरंत बाद फंडिंग वोलटिलिटी बढ़ी।
फिलहाल, नुकसान yETH और Balancer पूल्स तक सीमित दिखाई दे रहे हैं, जो अटैक से प्रभावित हुए थे। जांच अभी भी जारी है और यह स्पष्ट नहीं है कि चोरी हुए एसेट्स के लिए कोई रिकवरी विकल्प मौजूद हैं या नहीं।
मार्केट्स Yearn के एक औपचारिक प्रकटीकरण की प्रतीक्षा करेंगे जो समस्या की जड़, पैचिंग प्रयासों, और संभावित गवर्नेंस कार्यों को विस्तार से बताएगा।
