Lỗ hổng hợp đồng kế thừa của Yearn Finance gây $300K lo ngại

• Một hợp đồng iEarn đã lỗi thời mất $300K sau một vụ khai thác, với số tiền bị đánh cắp đã được đổi thành 103 ETH lưu tại một địa chỉ đã biết.

• Yearn xác nhận rằng các Vaults v2 và các hợp đồng đang hoạt động không bị ảnh hưởng, giới hạn tác động chỉ đến các hệ thống cũ được triển khai trước các Vaults.

• Sự cố này nhấn mạnh các rủi ro của DeFi cũ khi Yearn khám phá các thay đổi về quản trị nhằm tăng cường chia sẻ doanh thu và trách nhiệm giải trình.

Yearn Finance đã đối mặt với một sự cố nghiêm trọng khi một hợp đồng iEarn cũ bị khai thác, dẫn đến thiệt hại khoảng 300.000 USD. PeckShieldAlert báo cáo rằng kẻ tấn công đã đổi số tiền bị đánh cắp lấy 103 ETH, hiện đang nằm trong một địa chỉ đã biết.

Vấn đề tập trung vào hợp đồng TUSD không thể sửa đổi của iEarn, được triển khai cách đây hơn 2.100 ngày, và trước cả sự ra đời của các Vaults của Yearn. Quan trọng là, Yearn xác nhận rằng các Vaults v2 hiện tại và các hợp đồng đang hoạt động vẫn không bị ảnh hưởng.

Theo Yearn, vụ khai thác chỉ giới hạn ở hợp đồng iEarn cũ. Vấn đề này tương tự như vụ hack USDT năm 2023 ảnh hưởng đến các hợp đồng cũ tương tự. “Chúng tôi đang xem xét một vấn đề với iearn, một hợp đồng cũ từ trước Vaults v1 và v2. Vấn đề này dường như chỉ xảy ra với iearn và không ảnh hưởng đến các hợp đồng hoặc giao thức của Yearn hiện tại,” nhóm cho biết.

Lỗ hổng này tồn tại qua nhiều phiên bản, làm rò rỉ nhiều pool của Curve, bao gồm y, BUSD, và PAX. Do đó, các nhà cung cấp thanh khoản sử dụng các pool này trong các giao thức downstream đã gặp phải thiệt hại, mặc dù người dùng Vault đang hoạt động vẫn an toàn.

Tác động đến Hệ thống Cũ và Nhà cung cấp Thanh khoản

Vụ khai thác này làm nổi bật các rủi ro liên quan đến các hợp đồng DeFi cũ. Các hệ thống cũ như iEarn, đã bị loại bỏ vào năm 2020, vẫn còn giữ giá trị dư thừa, khiến các nhà nắm giữ dài hạn có nguy cơ mất mát. Hơn nữa, sự cố này chứng tỏ tầm quan trọng của việc nâng cấp hợp đồng và giám sát quản trị. Người dùng đã gửi token LP vào các giao thức bị ảnh hưởng vẫn phải đối mặt với rủi ro, cho thấy các lỗ hổng có thể lan rộng qua các nền tảng DeFi liên kết.

Yearn đang giải quyết vấn đề này đồng thời xem xét một cuộc cải tổ quản trị. Một đề xuất của người đóng góp ẩn danh 0xPickles nhằm tái cấu trúc giao thức dựa trên việc tạo ra doanh thu, trách nhiệm của các nhà đóng góp, và chia sẻ giá trị trực tiếp với các holder token YFI.

“Đề xuất này tạo ra một thỏa thuận mới. 90% doanh thu trong tương lai sẽ dành cho các stYFI, giúp họ có quyền lực,” Pickles nói. Hiện tại, lợi nhuận hàng tháng của Yearn khoảng 200.000 USD, theo dữ liệu của DefiLlama.

Cơ Hội Trong Bối Cảnh Phát Triển của DeFi

Ý tưởng quản trị này đến vào thời điểm DeFi đang trải qua đợt gửi tiền kỷ lục và tăng cường thanh khoản trong năm nay. Yearn, với tổng số tiền gửi đạt đỉnh khoảng $7 tỷ đô la vào tháng 12 năm 2021, xem đây là cơ hội để phục hồi.

Việc đồng thuận giữa các bên liên quan và tính bền vững lâu dài có thể được thúc đẩy bởi mô hình doanh thu đề xuất. Hơn nữa, đặt lợi nhuận và trách nhiệm lên hàng đầu có thể cải thiện giao thức và nâng cao giá trị của token YFI.