流动性挖矿协议 Yearn Finance 表示,错误的多重签名脚本导致其财务部门 63% 的头寸消失。用户资金没有受到影响。根据 Github 上的一篇披露帖子,该事件发生在代表 Yearn 财务部门进行常规费用代币转换过程期间。错误的脚本导致 3,794,894 个 lp-yCRVv2 代币被交换为 779,958 个 yvDAI 代币。
lp-yCRVv2 的全部财务余额(POL,加上费用)被错误地转移到交易多重签名,而预期的费用部分要小得多。交易多重签名用于交换代币的脚本缺乏足够的输出检查,并且包含逻辑错误将使交易规模限制在合理的范围内。
协议团队写道,此次交易导致价格大幅滑落,不久之后市场就恢复到正常价格,并要求任何从该事件引起的价格变动中获利的用户返还他们认为合理的金额。对于 Yearn 的主要多重签名来说是合理的。在返还资金之前,损失总计 140 万美元,约占整个资金的 2%。
一位发言人表示:“我们预计会收到一些资金返还,目前沟通渠道已开通。”该帖子称,为了防止未来发生此类事件,协议开发人员计划“将 POL 资金分离到专用的管理合约中,在交易脚本上引入更多人类可读的输出消息,并执行更严格的价格影响阈值”。
据 PeckShield 称,今年早些时候,涉及早期 Yearn 版本(称为 iearn)的漏洞造成了 1160 万美元的损失。2 月份,一次漏洞导致其金库中价值 1100 万美元的加密货币丢失。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
