Aie Un bug de codage coûteux draine 1,4 million de dollars du Trésor de Yearn Finance

  • Un bug de codage coûteux a entraîné la perte de 1,4 million de dollars du Trésor de Yearn Finance.
  • L'erreur s'est produite lors d'un échange sur CowSwap, entraînant une perte importante en raison d'un dérapage important.
  • Seules les liquidités appartenant au protocole ont été affectées et Yearn demande aux traders d'arbitrage ayant profité de l'incident de restituer une partie des fonds volontairement. Des mesures de sécurité sont également mises en place pour éviter des incidents similaires à l'avenir.

Protocole de financement décentralisé Yearn Finance a subi un revers coûteux cette semaine lorsqu’une erreur de script technique a entraîné la perte de 1,4 million de dollars de la trésorerie du protocole.

L’incident s’est produit le 11 décembre lors d’un processus de routine visant à convertir les jetons yVault LP de Yearn en pièces stables via un échange sur l’échange décentralisé CowSwap.

Points clés

  • Un script multisignature défectueux a entraîné l’échange de la totalité du solde de trésorerie de Yearn Finance, soit 3 794 894 jetons lp-yCRVv2, entraînant une perte de 1,4 million de dollars
  • L’erreur s’est produite alors que Yearn convertissait les jetons LP en pièces stables sur CowSwap. Un dérapage important a entraîné une baisse de 63 % de la valeur du pool de liquidités
  • Les fonds concernés étaient strictement des liquidités appartenant au protocole et provenant de la trésorerie de Yearn. Aucun fonds d’utilisateur n’a été affecté
  • Yearn a demandé à tous les traders d’arbitrage qui ont profité de cet incident de restituer volontairement une partie raisonnable des fonds au trésor de Yearn
  • Au moins un commerçant a déjà restitué 4 500 $. Yearn vise à améliorer les mesures de sécurité pour prévenir des incidents similaires à l’avenir

Un contributeur de Yearn a expliqué qu’un script multisignature défectueux générait des contrôles de sortie et des plafonds insuffisants pour la taille de l’échange, provoquant l’échange total du solde de Yearn de 3 794 894 jetons lp-yCRVv2 d’un seul coup. Cette taille géante du swap a déclenché un dérapage massif et a perdu environ 63 % de sa valeur par rapport au prix au comptant du jeton lp-yCRVv2.

Aie Un bug de codage coûteux draine 1,4 million de dollars du Trésor de Yearn Finance

Bien que le montant perdu soit important, Yearn a confirmé que seules les liquidités appartenant au protocole étaient affectées plutôt que les fonds des utilisateurs. « Un script multisig défectueux a provoqué l’échange de la totalité du solde de trésorerie de Yearn », a écrit le contributeur sur GitHub. « Étant donné que ces jetons sont essentiels à la liquidité du yCRV de Yearn, nous demandons à tous ceux qui ont profité de cette erreur de restituer un montant qu’ils jugent raisonnable au multisig principal de Yearn. »

À la suite de l’erreur de codage, certains traders d’arbitrage opportunistes ont remarqué le grave dérapage et sont intervenus pour acquérir les jetons à un prix très réduit, profitant rapidement de l’écart du marché. Yearn a directement appelé ces traders à soutenir la reprise du protocole en restituant volontairement une partie de leurs gains.

???? 1,4 million de dollars effacés ????

Yearn Finance a déclaré que son fonds de trésorerie avait perdu environ 1,4 million de dollars en raison d’un script défectueux.

Plus tard, leur équipe a affirmé que seule leur position LP était affectée, aucun fonds d’utilisateur n’étant ciblé pic.twitter.com/4FNXN8DAYp

– De.Fi Antivirus Web3 ????️ (@DeDotFiSecurity) 13 décembre 2023

Jusqu’à présent, au moins un commerçant a répondu à l’appel, renvoyant 2 Ether (d’une valeur d’environ 4 500 $) pour reconstituer la trésorerie de Yearn. « Désolé d’apprendre que les gars, cela arrive aux meilleurs d’entre nous », ont-ils écrit dans un message en chaîne. « Nous n’avons pas réalisé autant de bénéfices que d’autres, et nous avons pris des risques et contribué à l’ancrage, mais voici quand même un peu de retour. »

Pendant que Yearn tente de récupérer les fonds, l’équipe met également en œuvre des pratiques de sécurité mises à jour pour éviter des incidents similaires à l’avenir. Certains des changements clés incluent la séparation de la liquidité du protocole en contrats de gestion distincts, l’application de messages automatisés lisibles et l’instauration de limites de glissement plus strictes pour les transactions importantes.

Malgré ce revers coûteux causé par une vulnérabilité de codage, Yearn Finance maintient une crédibilité et une utilisation extrêmement élevées au sein de la finance décentralisée. Le protocole revendique une valeur totale de plus de 700 millions de dollars bloquée l’année dernière à travers ses produits de prêt générateurs de rendement.