연 파이낸스의 일상적인 토큰 스왑에서 스크립트의 결함이 발생하여 다음과 같은 문제가 발생했습니다.실수로 전체 트레이딩 잔고를 스왑하는 경우 380만 개에 가까운 유동성 토큰인 lp-yCRVv2를 보유하고 있습니다.

프로토콜 소유 유동성(POL)으로 알려진 이 은닉 자금은 전적으로 Yearn의 재무부에 속하며 사용자 자금은 포함되지 않았습니다.

그러나 커브 풀에서 상당한 미끄러짐이 발생하여 그 영향이 느껴졌지만 곧 정상화되었습니다.

문제를 더욱 복잡하게 만드는 것은 이 거래에 약 78만 개의 yvDAI 토큰이 포함되어 있어, 거래 중 유동성 토큰의 현물 가격을 기준으로 LP 가치의 약 63%(약 140만 달러)가 슬리피지로 손실되었다는 점입니다.

모든 것이 어떻게 이루어졌는가

이번 사고의 핵심은 유동성 토큰인 lp-yCRVv2 형태의 상당한 POL 준비금으로 지원되는 Yearn의 핵심 상품인 yCRV입니다.

이 토큰은 기본적으로 Yearn의 풀링된 veCRV 포지션에서 하나의 잠긴 CRV를 나타냅니다.

또한, 얀의 재무부는 정기적으로 성과 수수료와 같은 유동성 토큰을 받으며, 이는 보통 일상적인 운영을 위해 스테이블 코인으로 전환됩니다.

이 결함은 전체 POL 금액이 마치 수수료인 것처럼 취급되어 거래 멀티시그에 실수로 이동하면서 발생했습니다.

이 다중 서명은카우스왑 거래 전체 유동성 토큰 잔액을 스왑하는 주문을 포함하여 30개 이상의 주문이 포함되었습니다.

주문이 접수된 후 곧바로 주문이 완료되었습니다.

전체 유동성 토큰 잔액을 거래 멀티시그에 잘못 전송한 것과 적절한 출력 확인이 부족한 스크립트, 그리고 거래 규모를 합리적으로 제한하지 못한 논리적 오류 등 두 가지 중대한 실수가 이 실수의 원인이었습니다.

단일 거래에 30개가 넘는 거래가 복잡하게 얽혀 있어 사람이 검토해야 하는 어려움이 가중되었습니다.

사건 발생 후 차익거래 봇과 시장 참여자들은 혼란스러운 가격을 신속하게 수정했습니다.

인시던트 검토

재발 방지를 위해 Yearn Finance는 추가적인 안전장치를 마련하고 있습니다.

첫째, POL 펀드를 전담 매니저 계약으로 분리합니다.

또한 DeFi 플랫폼은 검토를 용이하게 하기 위해 트레이딩 스크립트에 보다 이해하기 쉬운 출력 메시지를 도입할 예정입니다.

마지막으로, 가격 영향에 대한 더 엄격한 기준을 적용할 것입니다.

이번 사건은 지난 4월에 발생한 초기 Yearn 버전(iearn)과 관련된 1,160만 달러의 피해와 2월에 발생한 금고 중 하나의 익스플로잇으로 인한 1,100만 달러의 손실 등 이전에 발생한 Yearn 금융 익스플로잇에 이어 발생한 사건입니다.