في عملية مبادلة رمزية روتينية لـ Yearn Finance، حدث خطأ في البرنامج النصي، مما تسبب في حدوث خطأمبادلة عرضية لكامل رصيد الخزينة بما يقرب من 3.8 مليون رمز سيولة، lp-yCRVv2.

هذا المخبأ، المعروف باسم السيولة المملوكة للبروتوكول (POL)، ينتمي فقط إلى خزانة ييرنز ولم يتضمن أي أموال للمستخدمين.

ومع ذلك، كان التأثير محسوسًا في تجمع المنحنى، مع انزلاق كبير تم تطبيعه بعد فترة وجيزة.

ومما زاد الأمور تعقيدًا، أن التجارة تضمنت ما يقرب من 780,000 رمز yvDAI، مما أدى إلى خسارة حوالي 63٪ من قيمة LP (حوالي 1.4 مليون دولار أمريكي) بسبب الانزلاق، بناءً على السعر الفوري لرمز السيولة أثناء التداول.

كيف حدث كل ذلك

يقع في قلب الحادث المؤسف المنتج الرئيسي لشركة Yearn، yCRV، المدعوم باحتياطي POL كبير في شكل lp-yCRVv2، رمز السيولة.

يمثل هذا الرمز بشكل أساسي CRV واحدًا مقفلاً في موضع veCRV المجمع لـ Yearn.

بالإضافة إلى ذلك، تتلقى خزانة Yearn بانتظام رموز السيولة مثل رسوم الأداء، والتي يتم تحويلها عادةً إلى عملات مستقرة للعمليات اليومية.

حدث الخلل عندما تم نقل مبلغ POL بالكامل عن طريق الخطأ إلى multisig للتداول، وتم التعامل معه كما لو كان رسومًا.

تم تنفيذ هذا multisig أالصفقة على Cowswap ، يتضمن أكثر من 30 أمرًا، بما في ذلك أمر لمبادلة رصيد رموز السيولة بالكامل.

تم ملء الطلبات بعد وقت قصير من وضعها.

ساهم خطأان مهمان في هذا الخطأ الفادح: النقل غير الصحيح لرصيد رمز السيولة بالكامل إلى multisig للتداول والبرنامج النصي الذي يفتقر إلى فحوصات الإخراج الكافية، مع وجود خطأ منطقي فشل في تحديد حجم التداول بشكل معقول.

إن تعقيد أكثر من 30 صفقة في معاملة واحدة يزيد من تحدي المراجعة البشرية.

بعد الحادث، قامت روبوتات المراجحة والجهات الفاعلة في السوق بسرعة بتصحيح السعر المعطل.

مراجعة الحادثة

ولمنع تكرار ذلك، تقدم Yearn Finance ضمانات إضافية.

أولاً، سيتم فصل أموال POL إلى عقود مدير مخصصة.

ستقدم منصة DeFi أيضًا رسائل مخرجات أكثر قابلية للفهم على نصوص التداول لتسهيل المراجعة.

وأخيرا، سوف يفرضون حدودا أكثر صرامة لتأثير الأسعار.

تأتي هذه الحادثة في أعقاب عمليات استغلال سابقة لـ Yearn Finance، مثل الأضرار التي بلغت 11.6 مليون دولار في أبريل والمرتبطة بإصدار مبكر من Yearn (iearn) وخسارة قدرها 11 مليون دولار في فبراير نتيجة لاستغلال في أحد خزائنها.