イヤーン・ファイナンスは11月30日、yETH製品に影響を与えるアクティブな攻撃が確認された。この攻撃者はyETHを事実上無制限にミントし、バランサープールから流動性を奪った。
この事件によりオンチェーンでの激しい動きが引き起こされ、複数の100ETHの送金がトルネードキャッシュを経由した。
Sponsored無限ミント攻撃でバランサープールの流動性枯渇
ブロックチェーンデータによれば、この攻撃は11月30日の21時11分(UTC)頃に発生した。悪意のあるウォレットが無限ミント攻撃を実行し、約235兆yETHを単一の取引で作成した。
ナンセンのアラートシステムは後に攻撃を確認し、これはイヤーンのVaultインフラではなく、yETHトークンコントラクトにおける無限ミント脆弱性としてイベントを特定した。
攻撃者は新たにミントされたyETHを使用し、バランサーの流動性プールから主にETHやリキッドステーキングトークン(LST)などの実際の資産を奪った。初期の推定では約280万ドルの資産が取り除かれたとされる。
また、攻撃直後に約1000ETHがトルネードキャッシュを通じて洗浄された。攻撃に使用されたいくつかのアシストコントラクトは、事件の数分前に展開され、その後自己消滅し、追跡を困難にした。
イヤーンはV2とV3のVaultは影響を受けていないと述べており、脆弱性は旧来のyETH実装に限定されている模様。
SponsoredプロトコルのTotal Value Locked(TVL)は600億ドルを超えており、コインゲッコによれば、基本システムは侵害されていないことを示唆している。
YFI価格、市場の初期パニックを逆転し急騰
しかし、市場の反応は予想外の動きを生んだ。攻撃がSNSやブロックチェーンアナリストから報告された直後、YFIの価格は急激に上昇し、4080ドル近辺から1時間以内に4160ドルを超えた。
この動きは、イヤーン全体のネガティブな見出しにもかかわらず発生した。
価格反応は、事件の初期段階における市場の誤解に結びついている模様。当初の「イヤーン攻撃」という主張が、YFIの流動性の薄さと歴史的なハックイベント時の激しい下落に基づいて、高レバレッジのショートポジションを引き起こしたため。
攻撃はyETHに限定されており、イヤーンのVaultが対象ではなく、空売りしていた人々はポジションをカバーし始めた。これにより短期間のショートスクイーズとボラティリティによる価格急騰が引き起こされた。
YFIの循環供給はわずか3万3984トークンであり、主要なDeFiガバナンス資産の中でも最も流動性が低い一つとされる。この構造は不確実性や急速な清算流れの際に価格変動を増幅する。デリバティブのデータも、攻撃アラート直後に資金のボラティリティが高まったことを示した。
現在のところ、損失は攻撃に触れたyETHとバランサープールに限定されている模様で、調査は続いており、盗まれた資産の回復オプションが存在するかどうかは不明だ。
市場はおそらく、イヤーンの正式な開示、根本原因の特定、パッチ作業、および潜在的なガバナンスアクションを注視するだろう。
