Yearn Finance gặp lỗi xoá sạch 63% vị thế trong kho bạc

Trong một diễn biến gần đây, giao thức Defi Yearn Finance đã gặp phải một trở ngại lớn do tập lệnh đa chữ ký (multisig) bị lỗi đã xoá sạch 63% vị thế trong kho bạc của nó. Sự cố này, được trình bày chi tiết trong một bài đăng tiết lộ trên Github, xảy ra trong quá trình chuyển đổi token phí thông thường thay mặt cho kho bạc của Yearn.

Yearn Finance Suffers 63% Treasury Loss Due to Faulty Script: No User Funds Impacted https://t.co/K4T4O9ZeiZ

— AZCoin News (@azcoinnews) December 14, 2023

Lỗ hổng trong tập lệnh đã kích hoạt swap toàn bộ số dư 3.794.894 token lp-yCRVv2, thiết lập thanh khoản thuộc sở hữu của giao thức (POL) nghiêm ngặt trong kho bạc của Yearn. Đáng chú ý, không có khoản tiền nào của người dùng liên quan đến sự cố này vì số tiền bị ảnh hưởng chỉ thuộc về thanh khoản nội bộ của Yearn.

Hậu quả của sự cố tập lệnh này là sự trượt giá đáng kể, dẫn đến mất khoảng 63% giá trị LP, định giá token lp-yCRVv2 tại thời điểm giao dịch.

Các token bị ảnh hưởng, rất quan trọng đối với thanh khoản yCRV của Yearn, đến mức Yearn Finance phải cầu xin những người có thể đã thu được lợi nhuận từ lỗi này trả lại một số tiền cho ychad.eth – ví đa chữ ký chính của Yearn, nhằm mục đích khắc phục hậu quả.

Rủi ro này bắt nguồn từ việc vô tình chuyển toàn bộ số tiền POL sang giao dịch đa chữ ký, bị xác định nhầm thành phí. Giao dịch bao gồm nhiều lệnh, trong đó có cả swap toàn bộ số dư lp-yCRVv2, khiến vấn đề trở nên trầm trọng hơn.

Hai sơ suất nghiêm trọng đã làm phức tạp thêm vấn đề:

1. Việc chuyển nhầm toàn bộ số dư kho bạc lp-yCRVv2 thay vì phần phí nhỏ hơn dự kiến.
2. Kiểm tra không đầy đủ và lỗi logic trong tập lệnh swap token của multisig – vốn có thể hạn chế quy mô giao dịch.

Hành động khắc phục nhanh chóng của các bot chênh lệch giá và các tác nhân thị trường đã khắc phục sai lệch giá ngay sau khi hoán đổi sai lầm.

Để tránh những rủi ro tương tự, Yearn Finance đang triển khai các biện pháp bảo vệ bổ sung:

• Tách quỹ POL thành các hợp đồng quản lý chuyên dụng.
• Cải thiện khả năng đọc của thông báo đầu ra trên tập lệnh giao dịch.
• Thực thi các ngưỡng tác động giá chặt chẽ hơn.

Khoản thiệt hại mà Yearn Finance phải chịu (trước khi có bất kỳ khoản hoàn trả nào) lên tới 1,4 triệu USD, chiếm khoảng 2% toàn bộ kho bạc. Sự cố này nêu bật những thách thức và rủi ro vốn có trong hoạt động tài chính phi tập trung. Đáng chú ý, Yearn Finance trước đây đã gặp phải các lỗ hổng, chẳng hạn như thiệt hại 11,6 triệu USD do exploit ở phiên bản đầu tiên và khoản lỗ 11 triệu USD do exploit một trong các kho tiền của nó vào tháng 2.

Khi Yearn Finance nỗ lực củng cố các biện pháp bảo mật của mình, sự cố này đóng vai trò như một lời nhắc nhở quan trọng về nhu cầu liên tục phải quản lý rủi ro mạnh mẽ trong bối cảnh tài chính phi tập trung đang phát triển.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin 

• YFI giảm gần 50% bất chấp Yearn Finance thông báo V3
• Yearn Finance bị tấn công, thiệt hại khoảng 10 triệu đô la

Itadori

Theo AZCoin News