بازیابی بخشی از وجوه سرقت‌شده یرن فایننس

در دنیای پر سرعت و پیچیده کریپتوکارنسی و بلاکچین، رخدادهای امنیتی اجتناب‌ناپذیرند. پروتکل مالی غیرمتمرکز (DeFi) یرن فایننس (Yearn Finance) اخیراً با یک حمله سایبری بزرگ به استخر yETH خود مواجه شد که منجر به سرقت حدود ۹ میلیون دلار از دارایی‌های دیجیتال گردید. با این حال، در یک تحول مثبت، این پروتکل توانسته است گام‌های مهمی برای ترمیم این آسیب بردارد و بخش قابل توجهی از وجوه سرقت‌شده را بازیابی کند. این بازیابی وجوه، نشانه تعهد یرن فایننس به امنیت کاربران و تلاش بی‌وقفه برای حفظ یکپارچگی اکوسیستم خود است و اهمیت واکنش سریع و همکاری در مواجهه با آسیب‌پذیری‌های امنیتی را نشان می‌دهد.

جزئیات حمله و آسیب‌پذیری yETH

حمله به استخر yETH یرن فایننس در تاریخ ۳۰ نوامبر در ساعت ۲۱:۱۱ UTC رخ داد. هدف این حمله، استخر قدیمی yETH stableswap بود که بر اساس کدهای سفارشی و نه پیاده‌سازی استاندارد Curve (CRV) توسعه یافته بود. این تفاوت در کدنویسی، نقطه ضعف اصلی را ایجاد کرد. مهاجم توانست با بهره‌برداری از یک نقص محاسباتی ظریف (arithmetic flaw) در قرارداد هوشمند، مقدار عظیمی از توکن yETH را در یک تراکنش واحد تولید کند. سپس از این yETH جعلی برای تخلیه دارایی‌ها از استخرهای آسیب‌دیده استفاده شد.

در مجموع، حدود ۸ میلیون دلار از استخر yETH stableswap و ۹۰۰ هزار دلار دیگر از استخر yETH-WETH در پلتفرم Curve به سرقت رفت. مهم است که اشاره شود این حمله تنها بر قراردادهای قدیمی و خاص مذکور تأثیر گذاشته و هیچ یک از سایر محصولات یرن فایننس، از جمله Vaultهای V2 و V3 که بیش از ۶۰۰ میلیون دلار دارایی را نگهداری می‌کنند، تحت تأثیر قرار نگرفتند. این حادثه بار دیگر بر اهمیت حسابرسی دقیق و مداوم کد منبع، به خصوص برای پروتکل‌هایی که از کدنویسی سفارشی استفاده می‌کنند، تأکید می‌کند.

روند بازیابی وجوه و همکاری‌های استراتژیک

پس از کشف حمله، تیم‌های مهندسی از Yearn، SEAL 911 و ChainSecurity بلافاصله یک «اتاق جنگ» تشکیل دادند و بررسی جامع پس از حادثه (post-mortem) را آغاز کردند. در حالی که بخشی از اتریوم (ETH) سرقت‌شده به سرعت از طریق ابزارهای حفظ حریم خصوصی مانند تورنادو کش (Tornado Cash) شسته شد که شانس بازیابی کامل را محدود می‌کرد، اما برخی از دارایی‌های LST (Liquid Staking Tokens) مرتبط با کیف پول‌های مهاجم همچنان قابل ردیابی بودند. یرن فایننس تمرکز خود را بر این دارایی‌ها قرار داد و با همکاری تیم‌های Plume و Dinero، در تاریخ ۱ دسامبر، موفق به بازیابی ۲.۴ میلیون دلار (معادل ۸۵۷.۴۹ واحد pxETH) شد.

این pxETH (نوعی توکن پاداش استیکینگ) هنوز در دسترس مهاجم بود و مخلوط یا تبدیل نشده بود. تیم‌ها با خنثی‌سازی موقعیت‌های pxETH مهاجم و هدایت ارزش معادل آن به پروتکل، این دارایی‌ها را بازگرداندند. این رویکرد همکاری و ردیابی دارایی‌های دیجیتال در بلاکچین، اهمیت امنیت بلاکچین و نقش بازیابی‌کنندگان متخصص را در مقابله با اکسپلویت‌ها پررنگ می‌کند. تیم یرن فایننس اعلام کرده است که تلاش‌های بازیابی همچنان فعال و ادامه دارد و در صورت فراهم بودن گزینه‌های روی زنجیره، دارایی‌های اضافی نیز ممکن است بازیابی شوند. کلیه وجوه بازیابی‌شده به کاربران آسیب‌دیده بازگردانده خواهد شد، که این امر بدون نیاز به فرآیندهای طولانی دادگاه یا مذاکرات انجام می‌شود.

درس‌ها و افزایش امنیت در اکوسیستم دیفای

یکی از جنبه‌های کلیدی واکنش یرن فایننس، ارتباط سریع و شفاف با جامعه بود. این اطلاع‌رسانی به تثبیت احساسات پیرامون اکوسیستم یرن، به ویژه پس از سقوط شدید توکن YFI پس از حمله، کمک کرد. پس از انتشار جزئیات بازیابی، توکن YFI بخشی از ضررهای خود را جبران کرد. یرن فایننس همچنین تأکید کرده است که هیچ یک از محصولات دیگرش از مسیر کد مشابهی استفاده نمی‌کنند و قراردادهای قدیمی در حال بازبینی هستند تا از وقوع مشکلات مشابه در آینده جلوگیری شود. این گام‌ها برای ارتقاء امنیت کاربر و اعتماد به مالی غیرمتمرکز بسیار حیاتی هستند.

درسی که می‌توان از این حادثه امنیتی گرفت، اهمیت تمرکز بر استحکام زیرساخت‌های کدنویسی و نیاز به حسابرسی‌های امنیتی مکرر و جامع است. به خصوص در حوزه DeFi، جایی که دارایی‌های قابل توجهی در قراردادهای هوشمند قفل شده‌اند، هرگونه آسیب‌پذیری می‌تواند منجر به ضررهای فاجعه‌بار شود. یرن فایننس انتظار دارد که گزارش کامل پس از حادثه را پس از نهایی شدن بررسی شرکای حسابرسی خود منتشر کند و پیش از این نیز کاربران را به مستندات مربوط به چارچوب افشای آسیب‌پذیری و تاریخچه حسابرسی خود ارجاع داده است. کاربران آسیب‌دیده می‌توانند از طریق دیسکورد یرن فایننس پشتیبانی دریافت کنند، در حالی که تحقیقات ادامه دارد. این رویداد، یادآوری محکمی برای تمامی فعالان وب ۳ است که امنیت دیجیتال باید همواره در اولویت باشد.

جزئیات فنی حمله و قراردادهای آسیب‌دیده

حمله سایبری اخیر به پروتکل Yearn Finance، که منجر به سرقت حدود ۹ میلیون دلار از دارایی‌های رمزنگاری شده گردید، بار دیگر اهمیت بررسی دقیق کد قراردادهای هوشمند و مدیریت ریسک در فضای دیفای (DeFi) را گوشزد می‌کند. این بخش به بررسی عمیق‌تر جزئیات فنی این حادثه، ماهیت آسیب‌پذیری بهره‌برداری شده و قراردادهای هوشمندی که هدف این عملیات مخرب قرار گرفتند، می‌پردازد. درک نحوه وقوع چنین حوادثی برای کاربران و توسعه‌دهندگان در اکوسیستم وب ۳ (Web3) حیاتی است تا بتوانند از دارایی‌های خود محافظت کرده و سیستم‌های امن‌تری را طراحی کنند.

زمان‌بندی و ماهیت کلی حمله

حمله به Yearn Finance در تاریخ ۳۰ نوامبر، ساعت ۲۱:۱۱ به وقت جهانی (UTC) به وقوع پیوست. این رخداد امنیتی یک حمله هدفمند بود که به طور خاص استخر قدیمی (legacy) مبادله پایدار yETH (yETH stableswap pool) این پروتکل را نشانه گرفت. ماهیت حمله به گونه‌ای بود که یک نقص فنی در پیاده‌سازی کد، امکان ضرب (mint) حجم عظیمی از توکن yETH را در یک تراکنش واحد برای مهاجم فراهم کرد. این اتفاق، نه تنها زنگ خطری برای پروتکل بود، بلکه بر ضرورت بازبینی مستمر و عمیق قراردادهای هوشمند، به‌ویژه آنهایی که از کدهای سفارشی استفاده می‌کنند، تأکید دارد.

پیچیدگی این حمله نشان می‌دهد که مهاجم با دقت و شناخت کامل از ساختار قرارداد هدف، به دنبال نقطه‌ضعفی بوده که بتواند از آن بهره‌برداری کند. واکنش سریع تیم مهندسی Yearn به همراه متخصصان امنیتی SEAL 911 و ChainSecurity بلافاصله پس از شناسایی نفوذ، با تشکیل یک اتاق جنگ، آغازگر تلاش‌های اولیه برای مهار خسارت و ردیابی وجوه سرقت شده بود. این حادثه همچنین اهمیت ارتباط شفاف و به‌موقع با جامعه را در شرایط بحرانی، برای حفظ اعتماد و پایداری اکوسیستم، نمایان ساخت.

ریشه فنی آسیب‌پذیری: نقص در کد سفارشی

قلب این آسیب‌پذیری در یک «نقص حسابی ظریف» (subtle arithmetic flaw) نهفته بود که در کد سفارشی استخر قدیمی yETH stableswap پروتکل Yearn وجود داشت. این یک نکته حیاتی است؛ زیرا برخلاف پیاده‌سازی‌های استاندارد و رایج از پروتکل‌هایی مانند Curve (CRV)، استخر هدف از کدی استفاده می‌کرد که به صورت اختصاصی توسعه یافته بود. قراردادهای هوشمند با کد سفارشی، با وجود ارائه انعطاف‌پذیری و ویژگی‌های منحصر به فرد، می‌توانند بردارهای حمله جدیدی ایجاد کنند اگر به اندازه کافی مورد بازبینی و آزمایش قرار نگیرند.

این نقص، به مهاجم اجازه داد تا بدون پرداخت هزینه واقعی یا پشتوانه کافی، مقادیر بسیار زیادی از توکن yETH را در یک تراکنش ضرب کند. این فرآیند، پایه و اساس حمله بود؛ با تولید غیرقانونی این توکن‌ها، مهاجم قادر شد تعادل منطقی پول‌ها را بر هم زده و از آنها دارایی‌های واقعی را تخلیه کند. این نمونه بارز آسیب‌پذیری‌های منطقی در قراردادهای هوشمند است که نمی‌توان آن‌ها را صرفاً با ابزارهای تحلیل استاتیک رایج کشف کرد و نیازمند یک بازبینی انسانی دقیق و ممیزی قرارداد هوشمند (smart contract audit) جامع و پیچیده است. از این رو، پروتکل‌ها باید همواره روی ممیزی‌های امنیتی چندگانه و بررسی دقیق کد توسط متخصصان خبره سرمایه‌گذاری کنند، به‌ویژه برای کدهای سفارشی که کمتر تست شده‌اند.

قراردادهای هدف و مقیاس خسارت

حمله به صورت بسیار هدفمند انجام شد و دو استخر مشخص را تحت تأثیر قرار داد. اصلی‌ترین هدف، همان‌طور که پیشتر ذکر شد، استخر قدیمی yETH stableswap بود که تقریباً ۸ میلیون دلار از آن تخلیه شد. علاوه بر این، مبلغ ۹۰۰ هزار دلار نیز از استخر yETH-WETH روی پلتفرم Curve مورد سرقت قرار گرفت. در مجموع، این حمله به سرقت تقریبی ۹ میلیون دلار منجر شد. مهم است که تأکید شود هیچ محصول دیگری از Yearn از این قرارداد خاص و آسیب‌پذیر استفاده نمی‌کرد. این بدان معناست که Vaultهای V2 و V3 Yearn که بیش از ۶۰۰ میلیون دلار دارایی را نگهداری می‌کنند، از این حمله در امان ماندند و تحت تأثیر قرار نگرفتند.

این نکته بسیار حائز اهمیت است زیرا نشان می‌دهد که حمله به یک نقطه ضعف ایزوله و منحصر به فرد در یک قرارداد قدیمی محدود شده بود و آسیب به هسته اصلی پروتکل یا سایر محصولات ایمن‌تر Yearn وارد نشده است. تمرکز بر روی یک قرارداد با کد سفارشی و قدیمی، استراتژی مهاجم را آشکار می‌کند که به دنبال ضعف‌هایی بوده که ممکن است کمتر مورد توجه قرار گرفته باشند. این وضعیت اهمیت جداسازی ریسک‌ها (risk segmentation) و به‌روزرسانی مداوم زیرساخت‌ها را در محیط‌های پرخطر دیفای به وضوح نشان می‌دهد، جایی که حتی یک "نقص حسابی ظریف" در یک جزء قدیمی می‌تواند منجر به خسارات مالی قابل توجهی شود. این تجربه بر لزوم بررسی دوره‌ای و منظم تمام قراردادهای فعال، به‌ویژه موارد قدیمی‌تر، تأکید دارد تا از بروز فیشینگ‌ها و حملات مشابه جلوگیری شود.

فرآیند سرقت و پیگیری دارایی‌ها

پس از اینکه مهاجم توانست با بهره‌برداری از نقص حسابی، مقادیر زیادی yETH را ضرب کند، از این توکن‌های تازه ایجاد شده برای تخلیه دارایی‌های واقعی از استخرهای هدف استفاده کرد. این فرآیند به سرعت اتفاق افتاد و بخش قابل توجهی از اتریوم (ETH) سرقت شده بلافاصله پس از حمله از طریق سرویس ترکیب‌کننده حریم خصوصی "Tornado Cash" پولشویی شد. استفاده از تورنادو کش به طور معمول ردیابی وجوه را دشوار می‌سازد و شانس بازیابی کامل را به شدت محدود می‌کند. با این حال، در بازه زمانی پس از حمله، چندین دارایی LST (Liquid Staking Token) مرتبط با کیف پول‌های مهاجم هنوز قابل ردیابی بودند و مخلوط یا تبدیل نشده بودند. این نکته کلیدی در تلاش‌های بازیابی بود.

Yearn با تمرکز بر این دارایی‌های قابل ردیابی و با همکاری تیم‌های Plume و Dinero، توانستند یک عملیات بازیابی هماهنگ را انجام دهند. در این عملیات، ۸۵۷.۴۹ واحد pxETH به ارزش تقریبی ۲.۳۹ میلیون دلار از دسترس مهاجم خارج و به پروتکل بازگردانده شد. این موفقیت در بازیابی جزئی، نشان‌دهنده اهمیت تحلیل زنجیره‌ای (on-chain analysis) و هوش بلاکچینی در ردیابی وجوه سرقتی است، حتی در شرایطی که مهاجم تلاش کرده باشد ردپای خود را پاک کند. تلاش‌های بازیابی همچنان فعال و ادامه دار هستند و پروتکل متعهد شده است که هرگونه دارایی بازیابی شده را به کاربران متضرر بازگرداند. این رویکرد، به کاربران متضرر امکان می‌دهد بدون نیاز به فرآیندهای طولانی دادگاهی یا مذاکرات پیچیده، غرامت دریافت کنند و اعتماد جامعه به پروتکل‌های دیفای را تقویت می‌نماید.

همکاری برای بازگرداندن دارایی‌های کاربران

امنیت در دنیای پرشتاب بلاکچین و دارایی‌های دیجیتال همواره یکی از چالش‌های اصلی بوده است. حملات سایبری به پروتکل‌های دیفای (DeFi) متاسفانه دور از انتظار نیستند و می‌توانند خسارات مالی قابل توجهی به کاربران وارد کنند. پروتکل Yearn Finance، یکی از نام‌های شناخته‌شده در حوزه دیفای، اخیراً با یک حمله سایبری به استخر نقدینگی yETH خود مواجه شد که منجر به از دست رفتن حدود ۹ میلیون دلار دارایی دیجیتال گردید. با این حال، واکنش سریع و هماهنگ تیم Yearn و شرکای آن، نقطه‌ی امیدی در این بحران ایجاد کرد و توانستند بخشی از دارایی‌های از دست رفته را بازیابی کرده و مسیر را برای جبران خسارت کاربران هموار سازند.

ماهیت حمله و چالش‌های اولیه

این حمله در تاریخ ۳۰ نوامبر در ساعت ۲۱:۱۱ UTC رخ داد و استخر yETH stableswap قدیمی Yearn را هدف قرار داد. این استخر با استفاده از کد سفارشی توسعه یافته بود، نه پیاده‌سازی استاندارد Curve (CRV)، و همین امر زمینه را برای یک نقص محاسباتی ظریف فراهم آورد. مهاجم با بهره‌برداری از این نقص، توانست مقدار عظیمی yETH را در یک تراکنش مینت کند و سپس از آن برای تخلیه دارایی‌ها از استخرهای آسیب‌دیده استفاده نماید. برآوردها نشان می‌دهد که حدود ۸ میلیون دلار از استخر yETH stableswap و ۹۰۰ هزار دلار دیگر از استخر yETH-WETH در Curve به سرقت رفت. نکته حائز اهمیت این بود که هیچ محصول دیگر Yearn از این قرارداد خاص استفاده نمی‌کرد و Vaultهای V2 و V3 که بیش از ۶۰۰ میلیون دلار دارایی را نگهداری می‌کنند، از این حمله در امان ماندند. این تفکیک کد مسیر ریسک را برای بخش اعظم اکوسیستم Yearn کاهش داد.

پس از این رخداد، مهندسان Yearn به همراه متخصصان SEAL 911 و ChainSecurity بلافاصله وارد عمل شدند و یک "اتاق جنگ" عملیاتی برای بررسی و مقابله تشکیل دادند. یکی از بزرگترین چالش‌ها، ردیابی و بازیابی دارایی‌ها بود، چرا که بخشی از اتریوم (ETH) سرقت شده به سرعت از طریق پروتکل میکسر Tornado Cash پولشویی شد که معمولاً شانس بازیابی کامل را کاهش می‌دهد. با این حال، دارایی‌های LST (Liquid Staking Tokens) متصل به کیف پول‌های مهاجم در بازه‌ی زمانی پس از حمله، همچنان قابل ردیابی بودند. این ردیابی آن‌چین (on-chain) بود که تمرکز اصلی تلاش‌های Yearn را مشخص کرد و مسیر را برای یک اقدام هماهنگ بازگرداندن وجوه هموار ساخت.

یک تلاش هماهنگ برای بازگرداندن دارایی‌ها

در یک تحول مهم، Yearn Finance در تاریخ ۱ دسامبر اعلام کرد که ۲.۴ میلیون دلار از مجموع ۹ میلیون دلار سرقت شده را بازیابی کرده است. این بازگشت شامل ۸۵۷.۴۹ pxETH بود که طی یک تلاش هماهنگ و پیچیده با همکاری تیم‌های Plume و Dinero صورت گرفت. نکته کلیدی در این موفقیت این بود که pxETH بازیابی شده هنوز در دسترس مهاجم قرار داشت و مخلوط یا تبدیل به ارزهای دیگر نشده بود. با همکاری Plume و Dinero، تیم Yearn توانست موقعیت‌های pxETH مهاجم را خنثی کرده و ارزش معادل آن را به پروتکل بازگرداند. این اقدام در فضای بلاکچین که اغلب ردیابی و بازیابی دارایی‌های دزدیده شده دشوار است، یک دستاورد قابل توجه محسوب می‌شود.

تیم Yearn به صراحت اعلام کرده است که تمامی وجوه بازیابی شده به کاربران آسیب‌دیده بازگردانده خواهد شد. این رویکرد به کاربران امکان می‌دهد تا بدون نیاز به فرآیندهای طولانی دادگاهی یا مذاکرات پیچیده، خسارت خود را جبران کنند. تلاش‌های بازیابی همچنان فعال و ادامه دارد و تیم متعهد است در صورت امکان‌های آن‌چین بیشتر، دارایی‌های اضافی نیز بازیابی و به کاربران بازگردانده شوند. کاربرانی که تحت تأثیر قرار گرفته‌اند، می‌توانند از طریق دیسکورد (Discord) Yearn پشتیبانی دریافت کنند، در حالی که تحقیقات همچنان ادامه دارد. این شفافیت و پاسخگویی سریع، به آرامش فضای اکوسیستم Yearn کمک شایانی کرده است، به ویژه پس از افت شدید قیمت توکن YFI که به دنبال این حمله رخ داده بود.

دروس آموخته‌شده و چشم‌انداز آینده

رویدادهای امنیتی مانند حمله به Yearn Finance، هرچند ناگوار، اما درس‌های ارزشمندی را برای کل اکوسیستم وب۳ به همراه دارند. این اتفاق بار دیگر بر اهمیت ممیزی‌های امنیتی دقیق، استفاده از قراردادهای هوشمند استاندارد و مستندسازی شفاف فرآیندهای توسعه و انتشار تأکید می‌کند. Yearn نیز این موضوع را جدی گرفته و اعلام کرده است که هیچ یک از محصولات فعلی آن از مسیر کد آسیب‌پذیر استفاده نمی‌کنند و قراردادهای قدیمی در حال بررسی هستند تا از بروز مشکلات مشابه در آینده جلوگیری شود. این تدابیر پیشگیرانه و بازبینی مداوم کد، گام‌های حیاتی برای تقویت امنیت پروتکل‌های دیفای و حفاظت از سرمایه‌های کاربران است.

انتظار می‌رود Yearn به محض نهایی شدن بررسی شرکای ممیزی، گزارش کامل پس از رخداد (post-mortem) را منتشر کند. این گزارش، جزئیات فنی حمله، اقدامات انجام شده و درس‌های آموخته‌شده را برای جامعه بلاکچین شرح خواهد داد. تیم Yearn پیش از این نیز کاربران را به مستندات خود در زمینه چارچوب افشای آسیب‌پذیری و سابقه ممیزی‌های امنیتی خود ارجاع داده بود، که نشان‌دهنده تعهد این پروتکل به شفافیت و امنیت است. در نهایت، همکاری میان پروتکل‌های مختلف، نهادهای امنیتی و جامعه بلاکچین در مواجهه با حملات سایبری، نقش محوری در حفظ اعتماد و پایداری این صنعت نوپا ایفا می‌کند. این رویداد نشان داد که در دنیای دارایی‌های دیجیتال، حتی پس از یک حمله موفقیت‌آمیز، با تلاش‌های هماهنگ و ردیابی دقیق می‌توان بخشی از خسارات را جبران کرد و به جامعه کاربران اطمینان بخشید.

برنامه جبران خسارت و ادامه تلاش‌ها

در پی یک اکسپلویت قابل توجه که پروتکل Yearn Finance را در اواخر ماه نوامبر تحت تاثیر قرار داد و منجر به سرقت حدود ۹ میلیون دلار از دارایی‌ها شد، این پلتفرم دیفای گام‌های مهمی را برای ترمیم آسیب‌ها و جبران خسارت کاربران متضرر برداشته است. این حادثه، که در تاریخ ۳۰ نوامبر در ساعت ۲۱:۱۱ UTC رخ داد، استخر قدیمی yETH stableswap را هدف قرار داد. این استخر با کدی اختصاصی و نه بر اساس پیاده‌سازی استاندارد Curve (CRV) کار می‌کرد و همین موضوع، زمینه را برای سوءاستفاده از یک نقص محاسباتی ظریف فراهم آورد. مهاجم با بهره‌برداری از این نقص، مقدار زیادی yETH را در یک تراکنش ساخت و سپس از آن برای تخلیه دارایی‌ها از استخرهای آسیب‌دیده استفاده کرد؛ حدود ۸ میلیون دلار از استخر yETH stableswap و ۹۰۰,۰۰۰ دلار از استخر yETH-WETH در Curve از دست رفت.

خبر خوب این بود که سایر محصولات Yearn از این قرارداد هوشمند استفاده نمی‌کردند و Vaultهای V2 و V3 که بیش از ۶۰۰ میلیون دلار دارایی را نگهداری می‌کنند، از این حمله در امان ماندند. تیم‌های مهندسی Yearn، SEAL 911 و ChainSecurity بلافاصله پس از نقض امنیتی وارد یک اتاق وضعیت اضطراری شدند و بررسی کامل پس از حادثه (Post-Mortem) در حال انجام است. با وجود اینکه بخشی از اتریوم (ETH) سرقت شده به سرعت از طریق Tornado Cash پولشویی شد و شانس بازیابی کامل را کاهش داد، اما چندین دارایی LST (Liquid Staking Token) مرتبط با کیف پول‌های مهاجم در مدت کوتاهی پس از اکسپلویت قابل ردیابی باقی ماندند. همین ردیابی دارایی‌های دیجیتال بود که کانون تلاش‌های Yearn را تشکیل داد.

بازیابی اولیه و همکاری‌های استراتژیک

یکی از مهم‌ترین پیشرفت‌ها در این پرونده، بازیابی جزئی ۲.۴ میلیون دلار از دارایی‌های سرقت شده است. این به روز رسانی در تاریخ ۱ دسامبر اعلام شد و Yearn تایید کرد که ۸۵۷.۴۹ واحد pxETH از طریق یک تلاش هماهنگ با همکاری تیم‌های Plume و Dinero بازیابی شده است. این pxETH بازیابی شده، در زمان عملیات، هنوز در دسترس مهاجم بود و مخلوط یا تبدیل نشده بود، که این امر شانس بازیابی آن را افزایش داد. همکاری نزدیک با Plume و Dinero به Yearn این امکان را داد تا موقعیت‌های pxETH مهاجم را خنثی کرده و ارزش معادل آن را به پروتکل بازگرداند.

این اقدام نمونه‌ای بارز از اهمیت همکاری در اکوسیستم بلاکچین و وب ۳ در مواجهه با حوادث امنیتی است. توانایی پروتکل‌ها برای همکاری با یکدیگر و با شرکت‌های امنیتی شخص ثالث، به طرز چشمگیری می‌تواند به بازیابی دارایی‌ها و کاهش اثرات منفی حملات سایبری کمک کند. این رویکرد فعال و سریع در بازیابی، می‌تواند به بازگرداندن اعتماد جامعه کاربری به پلتفرم‌های دیفای پس از مواجهه با آسیب‌پذیری‌های امنیتی کمک شایانی کند و نشان‌دهنده انعطاف‌پذیری و تعهد در فضای حاکمیت غیرمتمرکز است.

برنامه جبران خسارت و تعهدات پروتکل

Yearn Finance به وضوح اعلام کرده است که تمام وجوه بازیابی شده به کاربران متضرر بازگردانده خواهد شد. این تعهد به بازگرداندن دارایی‌های دیجیتال، بدون نیاز به فرآیندهای دادگاهی طولانی یا مذاکرات پیچیده، نشان‌دهنده یک رویکرد مسئولانه از سوی پروتکل است. تیم Yearn تاکید کرده است که تلاش‌های بازیابی همچنان فعال و ادامه دار است و در صورت فراهم بودن گزینه‌های آن‌چین (on-chain)، دارایی‌های اضافی نیز ممکن است بازیابی شوند. این شفافیت و تعهد به جبران خسارت، برای حفظ اعتماد در یک محیط غیرمتمرکز حیاتی است و به تقویت امنیت کلی اکوسیستم کمک می‌کند.

کاربرانی که تحت تاثیر این حادثه قرار گرفته‌اند، می‌توانند در طول ادامه تحقیقات، از طریق دیسکورد Yearn درخواست پشتیبانی کنند. این کانال ارتباطی مستقیم، برای ارائه به‌روزرسانی‌ها و کمک به کاربران در فرآیند جبران خسارت، بسیار مهم است. همچنین، پروتکل مجدداً تاکید کرده است که هیچ‌یک از دیگر محصولات آن از مسیر کد مشترکی با قرارداد آسیب‌دیده استفاده نمی‌کنند و قراردادهای قدیمی‌تر نیز برای جلوگیری از بروز مشکلات مشابه در آینده، در حال بازبینی هستند. این اقدامات نشان‌دهنده تعهد Yearn به امنیت بلاکچین و حفاظت از دارایی‌های کاربران خود است.

درس‌های آموخته شده و تقویت امنیت اکوسیستم

این اکسپلویت بار دیگر اهمیت ممیزی دقیق قراردادهای هوشمند و استفاده از کدهای استاندارد و آزمایش‌شده را برجسته می‌کند. نقص محاسباتی در کدهای سفارشی استخر قدیمی yETH stableswap، نقطه ورود مهاجم بوده است. Yearn انتظار دارد که پس از نهایی شدن بررسی شرکای ممیزی، گزارش کامل پس از حادثه را منتشر کند. این گزارش‌ها معمولاً شامل تحلیل دقیق آسیب‌پذیری، چگونگی وقوع حمله و اقدامات اصلاحی انجام شده است که برای کل اکوسیستم دیفای درس‌های ارزشمندی دارد و به افزایش آگاهی در زمینه امنیت سایبری کمک می‌کند.

ارتباط سریع و شفاف Yearn با جامعه کاربری، به تثبیت احساسات حول اکوسیستم Yearn کمک کرده است، به ویژه پس از کاهش شدید قیمت توکن YFI به دنبال حمله. با انتشار جزئیات بازیابی، توکن نیز بخشی از ضررهای خود را جبران کرد. تیم Yearn قبلاً کاربران را به مستندات خود که چارچوب افشای آسیب‌پذیری و تاریخچه ممیزی‌های امنیتی آن را تشریح می‌کند، ارجاع داده است. این رویکرد فعال در قبال امنیت و شفافیت، نه تنها برای Yearn بلکه برای کل صنعت کریپتو یک معیار مهم تلقی می‌شود و به افزایش آگاهی در مورد بهترین شیوه‌های امنیت سایبری در حوزه دارایی‌های دیجیتال کمک می‌کند. در نهایت، تمرکز بر ممیزی‌های امنیتی مداوم، استفاده از ابزارهای تحلیل کد، و آموزش جامعه کاربری در مورد خطرات احتمالی، کلید ساختن یک اکوسیستم وب ۳ ایمن‌تر و مقاوم‌تر است.

واکنش بازار و اقدامات امنیتی آتی

پروتکل یرن فایننس (Yearn Finance)، از بازیگران مهم در حوزه امور مالی غیرمتمرکز (DeFi)، اخیراً با یک حمله سایبری مواجه شد که منجر به از دست رفتن تقریبی ۹ میلیون دلار دارایی گردید. این حادثه در اواخر ماه نوامبر رخ داد و نگرانی‌هایی را در مورد امنیت پروتکل‌های دیفای ایجاد کرد. با این حال، یرن فایننس به سرعت واکنش نشان داد و با تلاشی هماهنگ، قدم‌های اولیه را برای جبران خسارت برداشت. بازیابی جزئی ۲.۴ میلیون دلاری، نشانه‌ای از تعهد پروتکل به کاربران و امنیت اکوسیستم خود است. این بخش به بررسی جزئیات حمله، اقدامات فوری یرن فایننس برای بازیابی، تأثیرات آن بر بازار و برنامه‌های آتی پروتکل برای افزایش امنیت می‌پردازد.

جزئیات حمله و ریشه‌یابی آسیب‌پذیری

حمله به یرن فایننس در تاریخ ۳۰ نوامبر در ساعت ۲۱:۱۱ به وقت جهانی (UTC) اتفاق افتاد و استیبل‌سواپ پول (stableswap pool) قدیمی yETH این پروتکل را هدف قرار داد. این قرارداد خاص، با کدهای سفارشی توسعه یافته بود و نه با پیاده‌سازی استاندارد Curve (CRV). یک نقص محاسباتی (arithmetic flaw) ظریف در این کد، به مهاجم اجازه داد تا در یک تراکنش، مقدار زیادی yETH تولید کند و سپس از آن برای تخلیه دارایی‌ها از استخرهای آسیب‌دیده استفاده نماید. حدود ۸ میلیون دلار از استیبل‌سواپ پول yETH و ۹۰۰ هزار دلار دیگر از پول yETH-WETH در Curve به سرقت رفت. یرن فایننس تأکید کرده که هیچ یک از محصولات دیگرش از این قرارداد آسیب‌پذیر استفاده نمی‌کردند و خزانه‌های V2 و V3، که بیش از ۶۰۰ میلیون دلار دارایی را نگهداری می‌کنند، تحت تأثیر این حمله قرار نگرفتند. این حادثه بار دیگر پیچیدگی‌ها و ریسک‌های ذاتی مرتبط با کدنویسی سفارشی در فضای دیفای را برجسته می‌کند.

فرآیند بازیابی و نقش همکاری‌های استراتژیک

بلافاصله پس از حمله، مهندسان یرن فایننس، SEAL 911 و ChainSecurity یک "اتاق جنگ" تشکیل دادند. در تاریخ اول دسامبر، یرن فایننس تأیید کرد که ۸۵۷.۴۹ واحد pxETH، معادل ۲.۴ میلیون دلار از دارایی‌های دزدیده شده، از طریق یک تلاش هماهنگ با تیم‌های Plume و Dinero، بازیابی شده است. این بخش از دارایی‌های مسروقه هنوز در دسترس مهاجم بود و مخلوط یا تبدیل نشده بود. تیم یرن فایننس با همکاری Plume و Dinero، موقعیت‌های pxETH مهاجم را خنثی کرده و ارزش معادل آن را به پروتکل بازگرداند. این بازیابی بدون نیاز به فرآیندهای طولانی دادگاهی، به جبران خسارت کاربران آسیب‌دیده کمک خواهد کرد. یرن فایننس اعلام کرده که تلاش‌ها برای بازیابی سایر دارایی‌ها همچنان ادامه دارد و کاربران متضرر می‌توانند از طریق دیسکورد پروتکل درخواست پشتیبانی دهند.

تأثیر بر قیمت YFI و لزوم شفافیت

خبر حمله به یرن فایننس تأثیر منفی بر احساسات بازار و به ویژه بر قیمت توکن YFI، توکن حاکمیتی پروتکل، گذاشت و با افت شدیدی روبرو شد. با این حال، انتشار جزئیات مربوط به بازیابی جزئی دارایی‌ها و شفافیت تیم یرن فایننس در اطلاع‌رسانی، به جبران بخشی از این ضررها کمک کرد. ارتباط سریع و صریح تیم، به آرام شدن جو حول اکوسیستم یرن فایننس یاری رساند. در دنیای پر سرعت کریپتو، شفافیت و واکنش سریع در مواجهه با حوادث امنیتی از اهمیت بالایی برخوردار است و می‌تواند اعتماد جامعه را حفظ کند. این حادثه همچنین بر ضرورت انجام حسابرسی‌های امنیتی منظم و دقیق برای تمامی قراردادهای هوشمند، به ویژه آن‌هایی که از کدهای سفارشی استفاده می‌کنند، تأکید کرد.

افزایش امنیت و برنامه‌های آتی

یرن فایننس متعهد شده است که یک گزارش کامل پس از حادثه (post-mortem) را پس از نهایی شدن بررسی شرکای حسابرسی خود منتشر کند. این گزارش، جزئیات فنی حمله و اقدامات اصلاحی را تشریح خواهد کرد. تیم پروتکل همچنین تأکید کرده که تمامی قراردادهای قدیمی را مورد بازبینی قرار می‌دهد تا از وقوع مشکلات مشابه در آینده جلوگیری کند. این پروتکل قبلاً کاربران را به مستندات مربوط به چارچوب افشای آسیب‌پذیری و تاریخچه حسابرسی‌های خود ارجاع داده بود. درس اصلی از این حادثه، اهمیت حیاتی حسابرسی‌های مستقل و استفاده از الگوهای کدنویسی اثبات‌شده است. پروتکل‌های دیفای باید همواره در برابر تهدیدات جدید هوشیار باشند و فرهنگ امنیتی قوی را در هسته عملیات خود جای دهند.

جمع‌بندی و توصیه‌های نهایی برای کاربران

حمله به یرن فایننس و بازیابی جزئی دارایی‌ها، یادآوری مهمی است که حتی پروتکل‌های معتبر دیفای نیز از خطرات امنیتی مصون نیستند. هرچند تلاش‌های یرن فایننس برای بازیابی و شفافیت قابل تحسین است، اما این حادثه بر لزوم احتیاط و تحقیق کامل (DYOR) توسط کاربران تأکید می‌کند. برای حفاظت از دارایی‌های خود در فضای رمزارز، همواره توصیه می‌شود که سبد سرمایه‌گذاری خود را متنوع کرده و تمام سرمایه را در یک پروتکل متمرکز نکنید. همچنین، به روز نگه داشتن اطلاعات امنیتی و آگاهی از ریسک‌های هر پلتفرم بسیار حیاتی است. بررسی سابقه حسابرسی‌ها، شفافیت تیم توسعه و مدل حاکمیتی یک پروتکل می‌تواند به ارزیابی ریسک کمک کند. یرن فایننس با این بازیابی نشان داد که قابلیت واکنش و مقاومت در برابر حملات را دارد، اما کاربران باید همواره مسئولیت شخصی خود را در قبال امنیت دارایی‌های دیجیتالشان جدی بگیرند و هوشیارانه عمل کنند.