Ein veralteter iEarn-Vertrag verlor $300K nach einem Exploit, wobei gestohlene Gelder in 103 ETH umgewandelt wurden, die bei einer bekannten Adresse gehalten werden.
Yearn bestätigte, dass v2 Vaults und aktive Verträge unberührt blieben, wodurch die Auswirkungen auf veraltete Systeme beschränkt sind, die vor den Vaults eingesetzt wurden.
Der Vorfall unterstreicht die Risiken legacy DeFi, während Yearn Governance-Änderungen prüft, um die Gewinnbeteiligung und Verantwortlichkeit zu erhöhen.
Yearn Finance erlebte einen kritischen Vorfall, bei dem ein legacy iEarn-Vertrag durch einen Exploit betroffen war, was zu einem Verlust von etwa 300.000 US-Dollar führte. PeckShieldAlert berichtete, dass der Angreifer die gestohlenen Gelder in 103 ETH umwandelte, die jetzt bei einer bekannten Adresse liegen.
Das Problem betrifft den unveränderlichen TUSD-Vertrag von iEarn, der vor über 2.100 Tagen deployed wurde und vor der Erstellung der Yearn Vaults liegt. Wichtig ist, dass Yearn bestätigte, dass die aktuellen v2 Vaults und aktiven Verträge unberührt bleiben.
Laut Yearn ist der Exploit ausschließlich auf den veralteten iEarn-Vertrag beschränkt. Das Problem ähnelt einem USDT-Hack aus dem Jahr 2023, der ähnliche legacy Verträge betraf. „Wir untersuchen ein Problem mit iearn, einem veralteten Vertrag aus der Zeit vor Vaults v1 und v2. Dieses Problem scheint ausschließlich iearn zu betreffen und hat keine Auswirkungen auf aktuelle Yearn-Verträge oder -Protokolle“, erklärte das Team.
Die Schwachstelle bestand in mehreren Versionen und führte dazu, dass mehrere Curve-Pools, darunter y, BUSD und PAX, geleert wurden. Folglich erlitten Liquiditätsanbieter, die diese Pools in nachgelagerten Protokollen nutzen, Verluste, obwohl aktive Vault-Nutzer sicher blieben.
Der Exploit hebt die Risiken hervor, die mit veralteten DeFi-Verträgen verbunden sind. Legacy-Systeme wie iEarn, das 2020 eingestellt wurde, behalten weiterhin Restwerte und setzen langfristige Halter potenziellen Verlusten aus. Zudem zeigt der Vorfall die Bedeutung von Vertrags-Upgrades und Governance-Überwachung. Nutzer, die LP-Token in betroffene Protokolle eingezahlt haben, sind weiterhin Risiken ausgesetzt, was zeigt, dass Schwachstellen durch vernetzte DeFi-Plattformen weiterreichen können.
Yearn arbeitet an der Lösung dieses Problems, während gleichzeitig eine Governance-Reform in Betracht gezogen wird. Ein Vorschlag des pseudonymen Beitragsleistenden 0xPickles zielt darauf ab, das Protokoll um Einnahmengenerierung, Verantwortlichkeit der Beitragenden und direkte Wertbeteiligung an YFI-Token-Inhabern neu zu strukturieren.
„Dieser Vorschlag schafft eine neue Vereinbarung. 90 % der zukünftigen Einnahmen gehen an stYFI-Inhaber, was sie stärkt“, sagte Pickles. Derzeit liegen Yearn’s monatliche Gewinne laut DefiLlama bei etwa 200.000 US-Dollar.
Die Governance-Idee kommt zu einer Zeit, in der DeFi Rekordeinzahlungen und zunehmende Liquidität verzeichnet. Yearn, dessen Einlagen im Dezember 2021 einen Höchststand von etwa $7 Milliarden erreichten, sieht darin eine Chance für eine Erholung.
Ausrichtung der Stakeholder und langfristige Nachhaltigkeit könnten durch das vorgeschlagene Einnahmemodell gefördert werden. Zudem könnte die Fokussierung auf Rentabilität und Verantwortlichkeit das Protokoll verbessern und den Wert der YFI-Token steigern.