Глибокий аналіз інциденту на 3,7 мільйона доларів США у протоколі YO: від недоліків у конфігурації до відновлення системи захисту транзакцій

【币界】YO Protocol的自動 зборова система（Automated Harvesting System） зіткнулася з конфігураційною несправністю, що спричинила подію «зламаного обміну» на суму кілька мільйонів доларів.

Що саме сталося? Доходовий механізм під час виконання операцій неправильно ввів у DEX-агрегатор усі залишки stkGHO у казначействі (включно з основною сумою та нагородами) для обміну. Головна проблема полягає в тому, що stkGHO виконує дві ролі — є ціллю для збору нагород і основним активом казначейства, що спричинило аномалію у межах умов. Цінова пропозиція, яку надав агрегатор, була надзвичайно нереальною, і Harvester не вчасно виявив аномалію та відмовився від угоди. Хоча система налаштувала параметри захисту від прослизання, ці заходи захисту лише моніторять коливання цін під час транзакції і не мають можливості перевірити початкову цінову пропозицію — у підсумку stkGHO на 384 мільйони доларів обміняли на лише 112 тисяч доларів USDC, а різницю у 3,7 мільйона доларів з’їли провайдери ліквідності Uniswap v4.

Які хороші новини? Казначейство yoUSD вже відновило нормальну роботу, і баланс користувачів та платоспроможність протоколу залишилися незмінними. Команда YO розпочала системну реформу, об’єднавши стандарти управління ризиками у всьому ланцюжку транзакцій — від перевірки цін до моніторингу прослизання, — щоб усунути сліпі зони у багаторівневому захисті. Ця подія також стала тривожним дзвінком для всієї екосистеми DeFi: залежність лише від механізмів захисту під час транзакцій недостатня, і важливо також перевіряти обґрунтованість початкових цінових пропозицій.