Yearn Finance yETH 攻撃の資金回収速報

みなさん、こんにちは。今回は Yearn Finance の最近の yETH プロトコルに対する攻撃と、その後の資金回収についての最新情報をお伝えします。

Yearn Finance が部分的に資金回収に成功

Yearn Finance は、11 月末に発生した約 900 万ドル相当の yETH エクスプロイト（脆弱性を突いた攻撃）から、約 240 万ドルを回収したと発表しました。この回収は Plume と Dinero というチームと連携して行われたもので、回収された資金は影響を受けたユーザーに返還される予定です。

ただし、攻撃者がすでに Tornado Cash などのミキシングサービスを使って洗浄したイーサリアム（ETH）は回収が難しい状況です。現在も Yearn は調査と回収作業を続けており、今後さらに資金が戻る可能性もあります。

攻撃の内容と影響範囲

今回の攻撃は、Yearn の古い yETH ステーブルスワッププールを狙ったもので、Curve の標準コードではなく独自のコードが使われていた部分に算術的なミスがありました。これにより攻撃者は一度の取引で大量の yETH を不正に発行し、その後プールから資産を引き出しました。

被害額は約 800 万ドルが yETH ステーブルスワッププールから、さらに約 90 万ドルが yETH-WETH プールから奪われました。ただし、Yearn の他の主要なバージョン（V2、V3）のバルトは影響を受けておらず、これらは 6 億ドル以上の資産を保有しています。

今後の対応とユーザーへの影響

回収された pxETH は攻撃者の手元にまだあり、ミキシングされていなかったため、Yearn は Plume と Dinero と協力してこれを無効化し、同等の価値をプロトコルに戻すことに成功しました。これにより、被害を受けたユーザーは裁判や長期の交渉を待たずに補償を受けられる見込みです。

影響を受けたユーザーは Yearn の Discord でサポートを受けられますし、Yearn 側も同様の問題が起きないよう古い契約の見直しを進めています。今回の迅速な対応は、攻撃後に下落した YFI トークンの価格回復にも寄与しているようです。

また、Yearn は監査パートナーと共に詳細な調査を進めており、最終的な報告書を公開する予定です。ユーザーは Yearn の脆弱性開示フレームワークや監査履歴も確認できます。

今回の件は、DeFi プロジェクトが直面するリスクと、それに対する迅速な対応の重要性を改めて示しているように思います。攻撃を受けたとはいえ、部分的な資金回収に成功し、ユーザーへの補償に動いている点は注目に値しますね。引き続きウォッチしていきたいですね！