昨日一有缺陷的多重签名脚本导致Yearn协议拥有的yCRV LP代币流动性余额被调换

金色财经报道，流动性挖矿协议 Yearn Finance表示，错误的多重签名脚本影响了Yearn在Lp yCRV中63%的LP头寸，在返还资金之前，损失总计140万美元，约占整个金库资金的2%。用户资金没有受到影响。 根据Github上的一篇披露帖子，该事件发生在“代表Yearn财务部门进行常规费用代币转换过程”期间，协议团队要求从该事件引起的价格变动中获利的用户“返还他们认为合理的金额”。一位发言人表示：“我们预计会收到一些资金返还，目前沟通渠道已开通”。

12月14日消息，Yearn Finance 披露称，在 Yearn 金库的常规费用代币兑换过程中，一个错误的多重签名脚本导致其金库中 63% 的头寸消失（3,794,894 个 lp-yCRVv2 代币被兑换为 779,958 个 yvDAI 代币），但用户资金并未受到影响，Yearn 要求从该漏洞中获利的用户向协议的多重签名返还「合理」金额。 Yearn Finance 表示在返还资金之前，损失总计 140 万美元，约占整个资金的 2%。

金色财经报道，据PeckShield分析，Euler Finance 由于其捐赠和清算的逻辑缺陷，其在以太坊上的一系列交易中被利用（黑客交易地址），导致项目损失约1.97 亿美元。具体而言，donateToReserves 需要确保捐赠者仍然有超额抵押，清算需要确保从借款到抵押资产的“正确”转换率。此外，共有两名黑客参与了攻击：0x5F2…8B8c 和 0xBcA…7c5C。

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。

金色财经报道，yearn在X平台发文称，如果用户计划收到Prisma Finance空投，那么就有资格参加Yearn的独家yPrisma计划。从世界标准时间11月9日3:00AM（北京时间11:00 AM ）开始，Yearn将向 yCRV 和 yPRISMA 用户分发约25万美元的奖励，yPrisma持有者将获得wstETH奖励，以及方便选择的原始抵押品，以用户帮助在Prisma Finance上充值金库。

金色财经报道，流动性协议 Rook 的交易活动激增，其代币 (ROOK) 上涨 23%，原因是有消息称三箭资本创始人Zhu Su和Kyle Davies已经完成了破产债权交易所的融资。据悉，三箭资本投资了 KeeperDAO 的种子轮，KeeperDAO 在 2020 年更名为 Rook。