深潮 TechFlow のニュースによると、4月29日、オンチェーン分析者の PeckShield(@PeckShieldAlert)が監視したところ、あるユーザーが保有していた Alchemix Yearn yvVault ポジション(トークン $yvWETH)が攻撃を受け、損失は約100万ドルと推定される。攻撃の原因は、そのユーザーが以前に未検証のコントラクトに対して権限を付与したことにある(コントラクトアドレス:0x143a)。このコントラクトは10日前にデプロイされたものである。逆コンパイル分析の結果、そのコントラクトには脆弱性が存在し、任意の呼び出しを実行できる(arbitrary call execution)ことが判明した。攻撃者はこの脆弱性を利用し、被害者の yvVault ポジションを成功裏に移動させた。現在、PeckShieldはこの脆弱性の具体的なロジックを公開している。ユーザーには、未知または未検証のコントラクトに対するトークンの権限付与を確認し、撤回することを推奨し、資産リスクを低減させるよう呼びかけている。
Alchemix yvVault ユーザーが誤った権限付与により攻撃を受け、約100万ドルを失う
深潮 TechFlow のニュースによると、4月29日、オンチェーン分析者の PeckShield(@PeckShieldAlert)が監視したところ、あるユーザーが保有していた Alchemix Yearn yvVault ポジション(トークン $yvWETH)が攻撃を受け、損失は約100万ドルと推定される。
攻撃の原因は、そのユーザーが以前に未検証のコントラクトに対して権限を付与したことにある(コントラクトアドレス:0x143a)。このコントラクトは10日前にデプロイされたものである。逆コンパイル分析の結果、そのコントラクトには脆弱性が存在し、任意の呼び出しを実行できる(arbitrary call execution)ことが判明した。攻撃者はこの脆弱性を利用し、被害者の yvVault ポジションを成功裏に移動させた。
現在、PeckShieldはこの脆弱性の具体的なロジックを公開している。ユーザーには、未知または未検証のコントラクトに対するトークンの権限付与を確認し、撤回することを推奨し、資産リスクを低減させるよう呼びかけている。