Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 132Smart-Contract-Bug

Yearn iEarn Fehlkonfiguriertes yUSDT

Ein fehlkonfigurierter Legacy-Yearn-iEarn-Vertrag mit falschem Fulcrum-Token mintete 1,2Q yUSDT und entzog 11 Mio. $ aus Aave v1, bevor jemand es bemerkte.

Datum
Opfer
Yearn Finance (iEarn)
Chain(s)
Ethereum
Status
Mittel entwendet

Am 13. April 2023 nutzten Angreifer eine Fehlkonfiguration im Legacy-iEarn-yUSDT-Vertrag aus — einem Yearn-Finance-Vorgänger, der seit 2020 deprecated war —, um über 1,2 Billiarden yUSDT aus einer 10.000-$-Anfangseinzahlung zu minten. Der resultierende Drain extrahierte rund 11,5 Millionen Dollar aus verschiedenen Stablecoin-Liquiditätspools.

Was geschah

iEarn war Yearn Finances ursprünglicher Yield-Aggregator-Vertrag, deployt Anfang 2020 vor der Einführung der modernen Yearn-Vaults. Der Vertrag war unveränderlich und wurde Mitte 2020 deprecated, als V1-Vaults ausgeliefert wurden, blieb aber seitdem on-chain.

Ein Konfigurationsfehler in iEarns yUSDT-Vertrag war drei Jahre lang stillschweigend latent gewesen:

  • iEarn sollte yUSDTs zugrunde liegendes USDT in Fulcrums iUSDT-Pool einzahlen.
  • Der Vertrag war stattdessen so konfiguriert, in Fulcrums iUSDC-Pool einzuzahlen — ein anderes Token vollständig.

Die Diskrepanz bedeutete, dass die Wechselkursberechnung zwischen USDT und yUSDT gebrochen war. Der Preis war effektiv jede Zahl, zu der der Angreifer ihn schubsen konnte, indem er USDT in einen Vertrag einzahlte, der die Einzahlungen als Wert eines anderen Stablecoins interpretierte.

Der Angriff:

  1. Der Angreifer zahlte einen kleinen initialen USDT-Betrag (~10K $) ein.
  2. Durch eine Sequenz sorgfältig zeitlich abgestimmter Einzahlungen und der fehlgeleiteten yUSDT/iUSDC-Buchhaltung mintete er ~1,2 Billiarden yUSDT gegen im Wesentlichen keinen Wert.
  3. Nutzte den absurden yUSDT-Saldo als Sicherheit oder Swap-Input über Aave-v1-Märkte und Curve-Pools, die veraltete yUSDT-Integrationen hatten.
  4. Entzog 11,5 Mio. $ in gemischten Stablecoins (USDP, TUSD, BUSD, USDT, USDC, DAI), bevor jemand aufholte.

Nachwirkungen

  • Yearn bestätigte öffentlich, dass der Exploit auf den deprecated iEarn-Vertrag begrenzt war — moderne Yearn-Vaults (V1, V2, V3) waren unbeeinflusst, ebenso wie Aaves aktuelle Bereitstellung.
  • Die gestohlenen Stablecoins wurden über Tornado Cash gewaschen.
  • Der Vorfall löste breitere Audits unveränderlicher Legacy-Verträge aus, die noch On-Chain-Liquidität über große Protokolle hinweg konsumierten.

Warum es zählt

Der iEarn-Vorfall zeigt, dass deprecated Verträge nicht dasselbe sind wie decommissionierte Verträge. Solange ein Vertrag on-chain ist und mit Live-Märkten integriert ist, kann jeder darin eingebrannte Konfigurationsfehler immer noch ausgenutzt werden — selbst drei Jahre, nachdem das Team aufgehört hat, ihn zu unterstützen.

Die defensive Reaktion in den Monaten danach umfasste:

  • Aktive Deprecation-Flows, die Integrationen pausieren und Liquidität aus Legacy-Verträgen migrieren, wenn sie ausgemustert werden.
  • Cross-Protocol-Audits, die speziell auf Legacy-Vertrags-Oberflächen abzielen, die mit aktuellen Märkten integrieren.
  • Liquiditäts-Caps auf Aave-v1-/Curve-/ähnliche Pools, die aus aktiver Wartung herausgealtert sind.

Die Yearn-Lehre ist die unglamouröse: Ein Vertrag, den du vergessen hast, ist ein Vertrag, an den sich jemand anderes erinnern wird.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2023/04/13/defi-protocols-aave-yearn-finance-likely-impacted-in-exploit-peckshield
  2. [02]quillaudits.medium.comhttps://quillaudits.medium.com/decoding-yearn-finance-11-million-hack-quillaudits-c9a75ac7e68b
  3. [03]slowmist.medium.comhttps://slowmist.medium.com/an-analysis-of-the-attack-on-yearn-finance-bd17f55460ea

Verwandte Einträge