Incident de sécurité chez Yearn Finance
Yearn Finance subit son quatrième exploit de sécurité, alors qu’une attaque par prêt flash a permis de vider un coffre v1 hérité. Cet incident souligne les risques persistants liés aux contrats DeFi obsolètes et aux tactiques de manipulation des prix.
Détails de l’attaque
Yearn Finance, un protocole de finance décentralisée, a été victime de cette attaque récemment, selon la société de sécurité blockchain PeckShield. La dernière attaque a ciblé un contrat intelligent Yearn v1 hérité, anciennement connu sous le nom d’iearn, entraînant des pertes significatives. Cet incident fait suite à un précédent exploit signalé en novembre dernier.
L’attaquant a utilisé un prêt flash pour manipuler les prix des tokens au sein du coffre affecté, comme l’a analysé PeckShield. Le coupable a retiré des actifs iearn et les a convertis en une autre cryptomonnaie, selon les rapports de la société de sécurité. Le contrat compromis fait partie de Yearn v1 et n’a pas été mis à jour depuis plusieurs années, selon la documentation du protocole.
Risques des prêts flash
Les prêts flash permettent aux emprunteurs d’obtenir de grandes quantités de cryptomonnaie sans garantie, ce qui offre aux attaquants la possibilité de manipuler les prix et de retirer rapidement des actifs, selon des experts en sécurité blockchain. Au cours des dernières années, Yearn Finance a connu quatre violations de sécurité. En novembre, le protocole a subi un exploit de mint infini, et en 2023, il a été victime d’un autre piratage ainsi que d’un incident distinct lié à Euler Finance, selon des sources de l’industrie. En 2021, un exploit similaire avait également entraîné des pertes importantes. Chaque attaque a utilisé des méthodes complexes, y compris des prêts flash et la manipulation des prix, selon les analyses de sécurité.
Réponses et recommandations
Des audits de sécurité ont été réalisés sur le protocole, bien que les contrats hérités demeurent exposés à des vulnérabilités potentielles, selon des sociétés de sécurité blockchain. Yearn Finance examine actuellement tous les contrats actifs pour détecter d’éventuelles faiblesses. PeckShield et d’autres services de surveillance blockchain ont suivi l’exploit de près et ont exhorté les utilisateurs à vérifier leurs soldes et à sécuriser des fonds potentiellement vulnérables. L’équipe du protocole n’a pas encore fourni de détails publics concernant les plans de récupération.
Yearn Finance continue d’examiner les contrats v1 restants pour détecter des vulnérabilités et a recommandé la prudence lors de l’interaction avec des coffres plus anciens. Les audits de sécurité et les vérifications sont renforcés pour prévenir d’autres pertes, selon les déclarations de la société. Les attaques par prêt flash continuent de représenter un risque pour les protocoles de finance décentralisée hérités, selon les évaluations de sécurité de l’industrie.
