L'exploitation du contrat Legacy de Yearn Finance soulève $300K inquiétude

• Un contrat iEarn obsolète a perdu $300K après une faille, avec des fonds volés échangés contre 103 ETH détenus à une adresse connue.

• Yearn a confirmé que les Vaults v2 et les contrats actifs n’ont pas été affectés, limitant l’impact aux systèmes obsolètes déployés avant les Vaults.

• L’incident souligne les risques liés aux DeFi legacy alors que Yearn explore des changements de gouvernance pour augmenter le partage des revenus et la responsabilité.

Yearn Finance a été confronté à un incident critique lorsqu’un contrat iEarn legacy a été exploité, entraînant une perte d’environ 300 000 $. PeckShieldAlert a rapporté que l’attaquant a échangé les fonds volés contre 103 ETH, maintenant stockés dans une adresse connue.

Le problème concerne le contrat TUSD immuable d’iEarn, déployé il y a plus de 2 100 jours, et qui précède la création des Vaults Yearn. Il est important de noter que Yearn a confirmé que les Vaults v2 actuels et les contrats actifs ne sont pas affectés.

Selon Yearn, l’exploitation est exclusive au contrat iEarn obsolète. Le problème ressemble à une faille USDT de 2023 affectant des contrats legacy similaires. « Nous étudions un problème avec iearn, un contrat obsolète datant d’avant Vaults v1 et v2. Ce problème semble exclusif à iearn et n’impacte pas les contrats ou protocoles Yearn actuels », a déclaré l’équipe.

La vulnérabilité a persisté à travers plusieurs versions, drainant plusieurs pools Curve, notamment y, BUSD et PAX. En conséquence, les fournisseurs de liquidité utilisant ces pools dans des protocoles en aval ont subi des pertes, bien que les utilisateurs actifs des Vaults soient restés en sécurité.

Impact sur les systèmes legacy et les fournisseurs de liquidité

L’exploitation met en évidence les risques liés aux contrats DeFi obsolètes. Les systèmes legacy comme iEarn, dépréciés en 2020, continuent de détenir une valeur résiduelle, exposant les détenteurs à long terme à des pertes potentielles. De plus, l’incident démontre l’importance des mises à jour de contrats et de la supervision de la gouvernance. Les utilisateurs ayant déposé des tokens LP dans des protocoles affectés restent exposés, montrant que les vulnérabilités peuvent se propager à travers des plateformes DeFi interconnectées.

Yearn aborde ce problème tout en envisageant une refonte de la gouvernance. Une proposition du contributeur pseudonyme 0xPickles vise à restructurer le protocole autour de la génération de revenus, de la responsabilité des contributeurs et du partage direct de la valeur avec les détenteurs de tokens YFI.

« Cette proposition crée un nouveau deal. 90 % des revenus futurs vont aux détenteurs de stYFI, leur donnant plus de pouvoir », a déclaré Pickles. Actuellement, les profits mensuels de Yearn tournent autour de 200 000 $, selon les données de DefiLlama.

Opportunité dans la croissance de la DeFi

L’idée de gouvernance intervient à un moment où la DeFi connaît des dépôts record et une augmentation de la liquidité cette année. Yearn, dont les dépôts ont atteint un pic d’environ $7 milliards en décembre 2021, voit cela comme une occasion de rebondir.

L’alignement des parties prenantes et la durabilité à long terme pourraient être favorisés par le modèle de revenus proposé. De plus, mettre la rentabilité et la responsabilité en premier pourrait améliorer le protocole et augmenter la valeur des tokens YFI.