جزئیات حمله و بهره‌برداری از توکن yETH

پروتکل دیفای (DeFi) یِرن فایننس (Yearn Finance) اخیراً شاهد یک رخداد امنیتی مهم بود که بر قرارداد توکن yETH آن تأثیر گذاشت. این حمله که در اواخر ۳۰ نوامبر رخ داد، منجر به تخلیه میلیون‌ها دلار اتریوم (ETH) و دارایی‌های استیکینگ مایع (liquid staking assets) از استخرهای نقدینگی بالانسر (Balancer) شد. این حادثه بار دیگر بر اهمیت حیاتی امنیت قراردادهای هوشمند در فضای کریپتو و بلاکچین تأکید می‌کند و آسیب‌پذیری‌های نهفته در نسخه‌های قدیمی‌تر پروتکل‌ها را برجسته می‌سازد.

چگونگی وقوع حمله و نقص «Infinite-Mint»

حمله به واسطه بهره‌برداری از یک نقص اساسی با عنوان «infinite-mint flaw» (نقص ضرب نامحدود) در قرارداد هوشمند توکن yETH انجام شد. این آسیب‌پذیری به مهاجم اجازه داد تا مقدار غیرممکن بزرگی از توکن‌های yETH، بیش از ۲۳۵ تریلیون واحد، را تنها در یک تراکنش ضرب (mint) کند. این قابلیت ضرب نامحدود، که یک ضعف قدیمی در منطق توکن yETH بود، هسته اصلی اکسپلویت را تشکیل می‌داد و به مهاجم امکان دسترسی بی‌سابقه به نقدینگی را می‌داد. تیم‌های امنیتی و حسابرسان با بررسی تراکنش‌ها، این رویداد را به یک ضعف دیرینه در معماری قدیمی توکن yETH مرتبط دانستند، نه مشکلی در ساختار فعلی vaultهای Yearn.

پس از ضرب این حجم عظیم از توکن‌های yETH، مهاجم به سرعت از طریق استخرهای نقدینگی بالانسر اقدام کرد. با استفاده از این توکن‌های بی‌ارزش اما نامحدود، مهاجم توانست دارایی‌های واقعی شامل اتریوم و مشتقات محبوب استیکینگ را از این استخرها خارج کند. تحلیل داده‌های بلاکچین نشان می‌دهد که استخر yETH stableswap در عرض چند دقیقه به طور کامل تخلیه شد و یک حفره تقریباً ۲.۸ میلیون دلاری از خود بر جای گذاشت. نکته جالب توجه، ظهور چندین قرارداد کمکی (helper contracts) درست پیش از حمله و ناپدید شدن آن‌ها از طریق فراخوانی‌های «self-destruct» بلافاصله پس از تخلیه استخر بود که ردیابی مسیر مهاجم را دشوارتر ساخت.

ردیابی دارایی‌های سرقت شده و ابعاد مالی

ردیابی اولیه تراکنش‌ها نشان می‌دهد که تقریباً ۳ میلیون دلار از دارایی‌های مسروقه، مدت کوتاهی پس از اکسپلویت، از طریق سرویس «تورنادو کش» (Tornado Cash) جابجا شد. تورنادو کش یک میکسر ارز دیجیتال است که برای پنهان کردن منبع و مقصد وجوه استفاده می‌شود و ردیابی را برای محققان امنیت بلاکچین بسیار چالش‌برانگیز می‌کند. در ساعات پس از حمله، حدود ۱۰۰۰ اتریوم در دسته‌های ۱۰۰ اتریومی از طریق تورنادو کش مخلوط شدند. با این حال، آدرس مهاجم همچنان دارایی‌های اضافی به ارزش چندین میلیون دلار را در کیف پول‌های متعدد در اختیار دارد. استخر yETH قبل از این نقض امنیتی، تقریباً ۱۱ میلیون دلار نقدینگی داشت و اگرچه رقم نهایی خسارت هنوز در حال بررسی است، اما مشخص است که بخش قابل توجهی از آن از دست رفته است.

پاسخ Yearn Finance و تأثیر بر اکوسیستم

یِرن فایننس بلافاصله پس از حادثه بیانیه‌ای صادر کرد و تأکید نمود که این مشکل مربوط به یک پیاده‌سازی قدیمی از توکن yETH بوده و به Vaultهای V2 یا V3 آن آسیبی نرسانده است. پروتکل‌هایی که بر روی Yearn V3 ساخته شده‌اند، از جمله کاتانا (Katana)، نیز اعلام کردند که در معرض این حمله قرار نگرفته‌اند. این تفکیک برای حفظ اعتماد کاربران به معماری اصلی و فعلی پروتکل حیاتی است و نشان می‌دهد که خطر تنها در بخش‌های قدیمی و به روز نشده وجود داشته است. یِرن فایننس همچنین یک برنامه پاداش باگ (bug bounty program) فعال دارد که برای کشف آسیب‌پذیری‌های بحرانی تا ۲۰۰,۰۰۰ دلار پاداش می‌دهد، اگرچه هیچ مسیر بازیابی وجوهی برای این حادثه هنوز اعلام نشده است.

این رخداد به سابقه طولانی‌تر یِرن در مدیریت ریسک‌های میراثی (legacy risks) اضافه می‌شود؛ این پروتکل پیش از این نیز در سال ۲۰۲۱ با اکسپلویت yDAI و در سال ۲۰۲۳ با یک خطای پیکربندی خزانه‌داری مواجه شده بود که البته بر سپرده‌گذاران تأثیری نداشت. در پی این خبر، توکن بومی یِرن، YFI، حدود ۴ درصد کاهش یافت و در زمان نگارش این مطلب با قیمت تقریبی ۴,۰۰۲ دلار معامله می‌شد. این اتفاق بار دیگر هشدار می‌دهد که حتی پروتکل‌های معتبر دیفای نیز باید به طور مداوم قراردادهای هوشمند خود را بررسی و به روز کنند تا از آسیب‌پذیری‌های پنهان، به ویژه در کدهای قدیمی‌تر، جلوگیری نمایند. کاربران نیز باید همواره در تعامل با پروتکل‌های دیفای احتیاط کرده و از ماهیت ریسک‌های مربوط به امنیت قراردادهای هوشمند آگاه باشند.

آسیب‌پذیری فنی و تخلیه استخرهای Balancer

در یک حمله امنیتی جدید که جامعه کریپتو را تکان داد، پروتکل Yearn Finance هدف قرار گرفت و میلیون‌ها دلار از دارایی‌های اتریوم (ETH) و استیکینگ نقد (LST) از استخرهای Balancer تخلیه شد. این اتفاق در اواخر روز ۳۰ نوامبر رخ داد، زمانی که یک مهاجم با بهره‌برداری از یک نقص اساسی در قرارداد توکن قدیمی yETH، موفق به انجام یک عملیات مخرب شد. این حادثه بار دیگر بر اهمیت ممیزی‌های امنیتی دقیق و مدیریت ریسک‌های مربوط به کدهای قدیمی (legacy risks) در فضای دیفای (DeFi) تأکید می‌کند. اگرچه Yearn Finance تأکید کرده است که این مشکل به نسخه‌های جدیدتر خزانه (V2 و V3 Vaults) مربوط نمی‌شود و وجوه کاربران در آنها ایمن است، اما این رویداد نشان‌دهنده خطرات پنهان در پروتکل‌های پیچیده و چندلایه بلاکچین است.

جزئیات حمله: نقص «تولید نامحدود» در yETH

قلب این حمله امنیتی یک نقص «تولید نامحدود» (infinite-mint flaw) بود که در منطق قرارداد توکن yETH کشف شد. این آسیب‌پذیری به مهاجم اجازه داد تا مقدار غیرممکنی از توکن‌های yETH، بیش از ۲۳۵ تریلیون توکن را، تنها در یک تراکنش ایجاد کند. این حجم عظیم از توکن‌ها، که به صورت مصنوعی و بدون پشتوانه مالی واقعی تولید شده بودند، سپس به سرعت توسط مهاجم برای تخلیه استخرهای Balancer مورد استفاده قرار گرفتند. مهاجم با استفاده از این توکن‌های تازه تولید شده، دارایی‌های واقعی و باارزش از جمله اتریوم و مشتقات محبوب استیکینگ را از استخرها خارج کرد. داده‌های بلاکچین نشان می‌دهد که استخر stableswap توکن yETH در عرض چند دقیقه به طور کامل تخلیه شد و حدود ۲.۸ میلیون دلار ضرر برجای گذاشت. این شیوه حمله، که از طریق دستکاری عرضه توکن به قصد تضعیف قیمت و تخلیه نقدینگی انجام می‌شود، نمونه‌ای از حملات پیچیده و سریع در اکوسیستم وب ۳ (Web3) است.

ردیابی وجوه و پاسخ Yearn Finance

پس از وقوع حمله، ردیابی اولیه تراکنش‌ها نشان داد که تقریباً ۳ میلیون دلار بلافاصله پس از بهره‌برداری، از طریق میکسر توکن تورنادو کش (Tornado Cash) به جریان افتاده است. این اقدام برای پنهان کردن منبع و مقصد وجوه دزدیده شده انجام می‌شود، اگرچه آدرس مهاجم همچنان دارایی‌های اضافی مرتبط با این رویداد را در اختیار دارد. همچنین، کاربر توئیتر (X) Togbo چند حرکت ۱۰۰ واحدی ETH را از طریق تورنادو کش گزارش کرد و در مجموع حدود ۱۰۰۰ ETH در ساعات پس از اکسپلویت، میکس شد. تیم‌های امنیتی و حسابرسانی که تراکنش‌ها را بررسی می‌کنند، این رویداد را به یک ضعف قدیمی در منطق تولید توکن yETH مرتبط دانسته‌اند، نه به معماری فعلی خزانه‌های Yearn. Yearn Finance (YFI) بلافاصله پس از حادثه اعلام کرد که این مشکل به پیاده‌سازی قدیمی yETH مربوط می‌شود و به خزانه‌های V2 یا V3 آن آسیبی نرسانده است. پروتکل‌هایی که بر روی Yearn V3 ساخته شده‌اند، از جمله Katana، نیز عدم آسیب‌پذیری خود را گزارش کردند. Yearn تأکید کرده است که وجوه کاربران در خزانه‌های فعال ایمن هستند، اگرچه استخر yETH پیش از این نقض امنیتی حدود ۱۱ میلیون دلار سرمایه داشت و عدد نهایی ضرر هنوز در دست بررسی است.

مدیریت ریسک‌های قدیمی و اقدامات آتی

این حادثه، پرونده طولانی Yearn Finance در مدیریت ریسک‌های قدیمی را تکمیل می‌کند، که سال‌ها پس از حمله yDAI در سال ۲۰۲۱ و یک خطای پیکربندی خزانه در سال ۲۰۲۳ (که بر سپرده‌گذاران تأثیری نداشت) رخ می‌دهد. این امر نشان می‌دهد که حفظ امنیت در برابر کدهای قدیمی چقدر می‌تواند چالش‌برانگیز باشد، حتی برای پروتکل‌های جاافتاده. همچنین، چند قرارداد کمکی (helper contracts) دقیقاً لحظاتی قبل از حمله ظاهر شده و پس از تخلیه استخر، از طریق فراخوان‌های «خودتخریبی» (self-destruct calls) ناپدید شدند، که ردیابی مسیر حمله را دشوارتر کرد. Yearn Finance یک برنامه باگ بانتی فعال با پاداش‌هایی تا ۲۰۰,۰۰۰ دلار برای کشف آسیب‌پذیری‌های حیاتی دارد، اما هنوز هیچ مسیر مشخصی برای بازگرداندن وجوه اعلام نشده است. پس از این رویداد، قیمت توکن YFI حدود ۴ درصد کاهش یافت و در حدود ۴,۰۰۲ دلار معامله شد. این اتفاق، اهمیت ممیزی‌های امنیتی مداوم، به‌روزرسانی کدها، و لزوم احتیاط برای کاربران در محیط‌های دیفای را برجسته می‌کند. کاربران باید همیشه از صحت و به‌روز بودن قراردادهای هوشمندی که با آن‌ها تعامل دارند، اطمینان حاصل کنند و ریسک‌های موجود در پروتکل‌های بلاکچینی را به خوبی بشناسند.

انتقال وجوه سرقتی به تورنادو کش

در پی اکسپلویت اخیر پروتکل Yearn Finance که منجر به تخلیه میلیون‌ها دلار دارایی دیجیتال از استخرهای نقدینگی Balancer شد، یکی از مراحل کلیدی و نگران‌کننده پس از سرقت، انتقال سریع و سازمان‌یافته وجوه مسروقه به سرویس‌های ناشناس‌کننده مانند تورنادو کش بود. این اقدام، تلاش‌ها برای ردیابی و بازپس‌گیری دارایی‌ها را به شدت پیچیده می‌کند و بر چالش‌های امنیتی موجود در فضای کریپتو و دیفای (DeFi) می‌افزاید. داده‌های بلاکچین نشان می‌دهند که بلافاصله پس از تخلیه استخر yETH، حدود ۳ میلیون دلار از این وجوه به سمت تورنادو کش سرازیر شده است که نشان‌دهنده برنامه‌ریزی قبلی مهاجم برای پولشویی دارایی‌های اتریوم (ETH) و مشتقات استیکینگ مایع بوده است.

نقش تورنادو کش در پولشویی دارایی‌های دیجیتال

تورنادو کش (Tornado Cash) به عنوان یک میکسر توکن یا سرویس حریم خصوصی در شبکه بلاکچین اتریوم، به کاربران اجازه می‌دهد تا تراکنش‌های خود را ناشناس کنند. عملکرد آن به این صورت است که وجوه از چندین منبع مختلف را با یکدیگر ترکیب کرده و سپس آنها را به آدرس‌های مقصد جدید ارسال می‌کند، به گونه‌ای که ارتباط بین آدرس مبدأ و مقصد به سختی قابل ردیابی باشد. این قابلیت، آن را به ابزاری جذاب برای مهاجمان تبدیل کرده است که به دنبال پنهان کردن منشأ دارایی‌های مسروقه خود هستند. در مورد اکسپلویت Yearn Finance، مهاجم با بهره‌برداری از یک نقص آسیب‌پذیری در قرارداد هوشمند yETH، مقدار غیرممکنی از توکن‌های yETH (بیش از ۲۳۵ تریلیون توکن) را مینت کرده و سپس با استفاده از آنها، دارایی‌های واقعی از جمله ETH را از استخرهای Balancer تخلیه کرده است. اولین ردیابی‌ها حاکی از آن است که تقریباً ۳ میلیون دلار بلافاصله پس از این واقعه به سمت تورنادو کش ارسال شده، که نشان‌دهنده سرعت عمل مهاجم در محو کردن ردپای خود است.

ردیابی و دشواری بازپس‌گیری وجوه

پس از ورود وجوه به سرویس‌های میکسر مانند تورنادو کش، فرآیند ردیابی و بازیابی آنها به شدت دشوار می‌شود. داده‌های بلاکچین نشان می‌دهد که استخر yETH stableswap در عرض چند دقیقه به طور کامل تخلیه شده و حفره‌ای ۲.۸ میلیون دلاری بر جای گذاشته است. یکی از کاربران X با نام Togbo، بلافاصله پس از فروپاشی استخر، به جابه‌جایی‌های متعددی از بسته‌های ۱۰۰ ETH از طریق تورنادو کش اشاره کرد. مجموعاً حدود ۱۰۰۰ ETH در ساعات پس از اکسپلویت، از طریق این میکسر پولشویی شد. علاوه بر این، قراردادهای کمکی متعددی درست لحظاتی قبل از حمله ظاهر شدند و پس از تخلیه استخر، از طریق فراخوان‌های self-destruct ناپدید شدند که ردیابی مهاجم را دشوارتر کرد. با این حال، علی‌رغم استفاده از تورنادو کش، مهاجم همچنان دارایی‌های اضافی به ارزش چندین میلیون دلار را در کیف پول‌های متعدد خود نگهداری می‌کند که امید به بازیابی جزئی از وجوه را زنده نگه می‌دارد. تیم‌های امنیتی و حسابرسان در حال بررسی دقیق تراکنش‌ها هستند تا راهی برای ردیابی و بازپس‌گیری این دارایی‌ها پیدا کنند، هرچند که تاکنون هیچ مسیر مشخصی برای بازیابی اعلام نشده است.

تأثیر بر جامعه کریپتو و لزوم هوشیاری

انتقال وجوه سرقتی به میکسرها تنها به دشواری ردیابی محدود نمی‌شود، بلکه تأثیرات گسترده‌تری بر اعتماد کاربران و اعتبار پروتکل‌های دیفای دارد. این حادثه، بار دیگر اهمیت امنیت در قراردادهای هوشمند و نیاز به ممیزی‌های دقیق را برجسته می‌کند. Yearn Finance اعلام کرده است که این مشکل مربوط به پیاده‌سازی قدیمی yETH بوده و خزانه‌های V2 و V3 آن تحت تأثیر قرار نگرفته‌اند، اما این موضوع نمی‌تواند نگرانی‌های موجود در مورد ریسک‌های میراثی و آسیب‌پذیری‌های احتمالی در سایر پروتکل‌ها را از بین ببرد. چنین حوادثی بر لزوم هوشیاری دائمی کاربران و توسعه‌دهندگان در مواجهه با فضای پرریسک وب۳ تأکید می‌کند. کاربران باید همواره از پروتکل‌هایی استفاده کنند که سابقه امنیتی قوی دارند و به طور منظم توسط متخصصان ممیزی می‌شوند. در حالی که Yearn یک برنامه پاداش باگ (bug bounty) با جوایز تا ۲۰۰,۰۰۰ دلار برای کشف آسیب‌پذیری‌های حیاتی دارد، این حادثه نشان می‌دهد که حتی پروتکل‌های باسابقه نیز می‌توانند در برابر نقص‌های قدیمی، آسیب‌پذیر باشند. این رویداد همچنین در کنار سایر حوادث مربوط به Balancer و توکن‌های LST، بر ضرورت یکپارچگی امنیتی در سراسر اکوسیستم بازار کریپتو تأکید دارد و یادآور می‌شود که هرگونه نقص می‌تواند منجر به ضررهای مالی قابل توجه و کاهش اعتماد عمومی شود.

واکنش Yearn Finance و امنیت صندوق‌های جدید

در دنیای پرشتاب و پیچیده دیفای (DeFi)، حوادث امنیتی می‌توانند به سرعت اعتماد کاربران را تضعیف کرده و خسارات مالی قابل توجهی به بار آورند. یکی از جدیدترین این حوادث، سوءاستفاده‌ای بود که در تاریخ ۳۰ نوامبر رخ داد و پروتکل Yearn Finance را هدف قرار داد. این حمله به واسطه یک آسیب‌پذیری در قرارداد هوشمند (smart contract) توکن yETH این پروتکل انجام شد و منجر به تخلیه میلیون‌ها دلار از دارایی‌های ETH و استیکینگ از استخرهای نقدینگی Balancer شد. واکنش سریع Yearn Finance به این حادثه و تاکید بر امنیت صندوق‌های جدید، نقطه کانونی توجه جامعه کریپتوکارنسی قرار گرفت.

جزئیات حمله و آسیب‌پذیری توکن yETH

حمله به Yearn Finance از طریق یک نقص "استخراج بی‌نهایت" (infinite-mint flaw) در قرارداد توکن yETH انجام گرفت. مهاجم توانست با بهره‌برداری از این ضعف، مقادیر غیرممکنی از توکن yETH، بیش از ۲۳۵ تریلیون توکن، را در یک تراکنش واحد ضرب کند. این حجم عظیم از توکن‌های بی‌ارزش، سپس به سرعت در استخرهای Balancer مورد استفاده قرار گرفتند تا دارایی‌های واقعی شامل ETH و مشتقات استیکینگ محبوب را از این استخرها خارج کنند. ردیابی‌های اولیه نشان می‌دهد که تقریباً ۳ میلیون دلار بلافاصله پس از این بهره‌برداری از طریق سرویس اختلاط تراکنش‌های تورنادو کش (Tornado Cash) جابجا شده است. داده‌های بلاکچین حاکی از آن است که استخر yETH stableswap در عرض چند دقیقه به طور کامل تخلیه شد و شکافی معادل ۲.۸ میلیون دلار به جای گذاشت. آدرس مهاجم همچنان دارایی‌های اضافی مرتبط با این رویداد را در اختیار دارد و تحقیقات برای ردیابی کامل دارایی‌ها ادامه دارد.

تمایز بین صندوق‌های قدیمی و جدید Yearn

Yearn Finance (YFI) بلافاصله پس از وقوع حادثه با انتشار بیانیه‌ای، توضیح داد که این مشکل به پیاده‌سازی قدیمی‌تر توکن yETH مربوط می‌شود و به هیچ وجه صندوق‌های V2 یا V3 آن را تحت تاثیر قرار نداده است. این شفاف‌سازی برای اطمینان‌بخشی به کاربران حیاتی بود. پروتکل‌هایی که بر روی Yearn V3 ساخته شده‌اند، از جمله Katana، نیز تایید کردند که هیچ گونه در معرض خطری قرار نگرفته‌اند. تیم Yearn تاکید کرد که در حال بررسی دقیق حادثه مرتبط با استخر yETH LST stableswap هستند و صندوق‌های اصلی Yearn (V2 و V3) کاملاً ایمن هستند. تیم‌های امنیتی با بررسی دقیق تراکنش‌ها، از جمله حسابرسانی که محصولات قدیمی‌تر Yearn را ردیابی می‌کنند، این رویداد را به یک ضعف دیرینه در منطق توکن yETH نسبت دادند و نه به مشکل در معماری فعلی صندوق‌های Yearn. این تمایز اهمیت بالایی در حوزه امنیت بلاکچین دارد، زیرا نشان می‌دهد که آسیب‌پذیری در یک جزء قدیمی و جداگانه بوده و بر هسته اصلی پروتکل‌های جدیدتر تاثیری نگذاشته است.

سابقه مدیریت ریسک و برنامه‌های امنیتی

این حادثه، به سابقه طولانی Yearn Finance در مدیریت ریسک‌های مرتبط با نسخه‌های قدیمی‌تر پروتکل‌هایش اضافه می‌کند. پیش از این نیز، در سال ۲۰۲۱، این پروتکل با بهره‌برداری از yDAI و در سال ۲۰۲۳ با سوءپیکربندی خزانه‌داری مواجه شده بود که البته هیچ‌کدام بر سپرده‌گذاران تاثیر نگذاشته بودند. این وقایع بر اهمیت بازرسی‌های امنیتی مداوم، به‌روزرسانی‌های کد و مدیریت چرخه عمر قراردادهای هوشمند تاکید می‌کند. پروتکل Yearn Finance یک برنامه جایزه برای کشف باگ (bug bounty program) فعال دارد که پاداش‌هایی تا ۲۰۰,۰۰۰ دلار برای کشفیات حیاتی ارائه می‌دهد، هرچند مسیر مشخصی برای بازگرداندن وجوه از دست رفته در این حادثه هنوز اعلام نشده است. پس از فروپاشی استخر، کاربر X به نام Togbo نیز چندین جابجایی ۱۰۰ ETHی را از طریق تورنادو کش گزارش کرد و در مجموع حدود ۱۰۰۰ ETH در ساعات پس از این بهره‌برداری مخلوط شد. با وجود نوسانات بازار و کاهش تقریباً ۴ درصدی توکن YFI پس از حادثه، Yearn تاکید کرده است که وجوه کاربران در صندوق‌های فعال امن هستند. این رویداد یک یادآوری جدی برای سرمایه‌گذاران و توسعه‌دهندگان است تا همواره به تاریخچه امنیتی پروتکل‌ها، نسخه‌های مختلف قراردادهای هوشمند و مکانیزم‌های بازیابی و جبران خسارت توجه ویژه داشته باشند تا در برابر خطرات احتمالی در فضای کریپتو و وب ۳ محافظت شوند.

تأثیر بر قیمت YFI و سابقه امنیتی پروتکل

جزئیات حمله امنیتی yETH به Yearn Finance و نحوه وقوع آن

پروتکل Yearn Finance (YFI)، از بازیگران برجسته حوزه مالی غیرمتمرکز (DeFi)، اخیراً با یک حمله امنیتی قابل توجه مواجه شد. این حادثه در اواخر روز ۳۰ نوامبر رخ داد، زمانی که یک مهاجم با بهره‌برداری از یک نقص اساسی در قرارداد توکن yETH، میلیون‌ها دلار اتریوم (ETH) و دارایی‌های نقدینگی استیکینگ را از استخرهای Balancer سرقت کرد. روش حمله شامل استفاده از آسیب‌پذیری "infinite-mint flaw" یا "نقص تولید نامحدود" در منطق قرارداد هوشمند yETH بود. این نقص به مهاجم اجازه داد تا به طور غیرقانونی، بیش از ۲۳۵ تریلیون توکن yETH را تنها در یک تراکنش ایجاد کند. پس از تولید این حجم عظیم از توکن‌ها، مهاجم به سرعت وارد استخرهای نقدینگی Balancer شد و با استفاده از yETH‌های تقلبی، دارایی‌های واقعی شامل ETH و مشتقات استیکینگ محبوب را برداشت کرد. ردیابی‌های اولیه نشان می‌دهد که بلافاصله پس از این بهره‌برداری، تقریباً ۳ میلیون دلار از وجوه مسروقه به پلتفرم اختلاط تورنادو کش (Tornado Cash) منتقل شده است، در حالی که آدرس مهاجم هنوز دارایی‌های دیگری مرتبط با این رویداد را در اختیار دارد. داده‌های بلاکچین تأیید می‌کند که استخر yETH stableswap در عرض چند دقیقه به طور کامل تخلیه شد و حدود ۲.۸ میلیون دلار ضرر به بار آورد.

ماهیت نقص فنی و مصونیت Vaultهای جدید

نقص "infinite-mint" یک آسیب‌پذیری بحرانی در قراردادهای هوشمند توکن است که به مهاجم اجازه می‌دهد توکن‌های جدید را فراتر از عرضه مجاز تولید کند. این نقص اغلب ناشی از اشتباهات در کدنویسی توابع ضرب یا عدم اعتبارسنجی صحیح محدودیت‌های عرضه است. در این مورد، مهاجم با ایجاد توکن‌های yETH بی‌ارزش اما به تعداد نامحدود، سیستم را فریب داد تا دارایی‌های واقعی را از استخرهای نقدینگی Balancer آزاد کند. با این حال، تیم Yearn Finance به سرعت اعلام کرد که این مشکل به طور خاص در یک پیاده‌سازی قدیمی‌تر از قرارداد yETH وجود داشته و هیچ‌یک از Vaultهای اصلی آن، یعنی Vaultهای V2 و V3، تحت تأثیر قرار نگرفته‌اند. همچنین، پروتکل‌هایی که بر پایه معماری Yearn V3 ساخته شده‌اند، از جمله Katana، نیز از این حمله مصون مانده‌اند. این تمایز مهم به کاربران اطمینان می‌دهد که بخش عمده‌ای از اکوسیستم Yearn و دارایی‌های قفل شده در Vaultهای جدیدتر، امن هستند. تیم‌های امنیتی و حسابرسان تأیید کردند که این رویداد ناشی از یک ضعف دیرینه در منطق توکن yETH بوده و ارتباطی با معماری امنیتی فعلی Vaultهای Yearn ندارد. Yearn یک برنامه پاداش باگ فعال تا ۲۰۰,۰۰۰ دلار دارد، اما مسیر بازیابی وجوه هنوز اعلام نشده است.

تأثیر بر قیمت توکن YFI و سوابق امنیتی Yearn

بازار کریپتو بلافاصله به خبر این حمله واکنش نشان داد. توکن بومی Yearn Finance، YFI، پس از اعلام این رویداد حدود ۴ درصد کاهش یافت و در زمان انتشار خبر نزدیک به ۴,۰۰۲ دلار معامله می‌شد. این نوسان قیمت، نشان‌دهنده حساسیت بالای سرمایه‌گذاران به مسائل امنیتی در فضای دیفای است. این حادثه همچنین به سابقه Yearn در مدیریت "ریسک‌های ارثی" (legacy risks) یا همان آسیب‌پذیری‌های مرتبط با نسخه‌های قدیمی‌تر محصولاتش اضافه می‌کند. پیش از این نیز Yearn در سال ۲۰۲۱ با بهره‌برداری yDAI و در سال ۲۰۲۳ با یک خطای پیکربندی در خزانه مواجه شده بود که خوشبختانه هیچ‌کدام بر سپرده‌گذاران تأثیر منفی نداشتند. این وقایع بر اهمیت ممیزی‌های امنیتی مداوم، به‌روزرسانی‌های منظم و سیاست‌های قوی مدیریت ریسک برای تمام پروتکل‌های دیفای، به‌ویژه آن‌هایی که دارای نسخه‌های متعدد و قدیمی‌تر از قراردادهای هوشمند هستند، تأکید می‌کند. شفافیت و اقدامات پیشگیرانه برای حفظ اعتماد کاربران ضروری است.

نقش تورنادو کش و چالش‌های ردیابی دارایی‌ها

انتقال بخش قابل توجهی از وجوه مسروقه به تورنادو کش، پیچیدگی ردیابی و بازیابی آن‌ها را به شدت افزایش می‌دهد. تورنادو کش یک سرویس حفظ حریم خصوصی است که با مخلوط کردن وجوه از منابع متعدد، ردپای تراکنش‌ها را در بلاکچین مبهم می‌کند و اغلب توسط مهاجمان سایبری برای پنهان کردن منبع دارایی‌های مسروقه استفاده می‌شود. پس از تخلیه استخر yETH، حدود ۱,۰۰۰ اتریوم در ساعات پس از بهره‌برداری از طریق این پلتفرم اختلاط (mixer) شد. علاوه بر این، مهاجم هنوز دارایی‌های اضافی به ارزش چندین میلیون دلار را در کیف پول‌های مختلف در اختیار دارد. این موضوع نشان می‌دهد که تیم‌های امنیتی و تحلیلگران بلاکچین همچنان در حال تلاش برای ردیابی و شناسایی تمام دارایی‌های مسروقه و آدرس‌های مرتبط با مهاجم هستند، اما ماهیت عملیات اختلاط، این فرآیند را طولانی و دشوار می‌سازد. ظهور و خودتخریبی قراردادهای کمکی (helper contracts) لحظاتی قبل از حمله نیز، فرآیند جمع‌آوری شواهد و پیگیری مهاجم را پیچیده‌تر کرده بود.

جمع‌بندی و توصیه‌های نهایی

حمله امنیتی اخیر به Yearn Finance از طریق نقص "infinite-mint" در قرارداد قدیمی yETH، بار دیگر آسیب‌پذیری‌های بالقوه در فضای دیفای را برجسته می‌کند. در حالی که تیم Yearn تأکید کرده که Vaultهای V2 و V3 و پروتکل‌های مبتنی بر Yearn V3 تحت تأثیر قرار نگرفته‌اند، این رویداد یادآور دائمی اهمیت ممیزی‌های امنیتی دقیق، به‌روزرسانی مستمر قراردادها، و مدیریت ریسک‌های مربوط به نسخه‌های قدیمی‌تر پروتکل‌هاست. برای کاربران پروتکل‌های دیفای، انجام تحقیقات کامل (Due Diligence) قبل از سرمایه‌گذاری یا سپرده‌گذاری دارایی‌ها از اهمیت حیاتی برخوردار است. همیشه از پروتکل‌هایی استفاده کنید که دارای سابقه امنیتی قوی، ممیزی‌های منظم توسط شرکت‌های معتبر، و یک برنامه فعال پاداش باگ هستند. آگاهی از تفاوت بین نسخه‌های مختلف یک پروتکل و اطلاع از ریسک‌های قدیمی، بسیار مهم است. هوشیاری، آگاهی از آخرین رویدادهای امنیتی، و اولویت‌بندی حفاظت از دارایی‌ها باید در رأس برنامه‌های هر سرمایه‌گذار و توسعه‌دهنده در این حوزه باشد.