في 30 نوفمبر 2025، حوالي الساعة 21:11 بالتوقيت العالمي المنسّق، استغل مهاجم ثغرة إصدار في عقد yETH القديم من Yearn Finance. من خلال إنشاء نحو 235 تريليون وحدة yETH في معاملة واحدة، تمكن المهاجم من سلب نحو 8 ملايين دولار من تجمع العملات المستقرة الرئيسي و0.9 مليون دولار من تجمع yETH-WETH على Curve، ليبلغ إجمالي الخسائر نحو 9 ملايين دولار. ثم تم توجيه أموال تعادل نحو 1,000 ETH عبر مُخلّط Tornado Cash لإخفاء المسار.
أكّدت Yearn Finance الحادث بسرعة، موضّحة أن الاستغلال طال فقط تنفيذ مبادلة العملات المستقرة المخصص للإصدار القديم من yETH، ولم يؤثر على بنية Vault الإصدار V2 أو V3، والتي تقود معًا قيمة مقفلة تتجاوز 600 مليون دولار. كما يمثل الحادث أحدث اختراق أمني في تاريخ بروتوكول Yearn، تلاه اختراقات سابقة في 2021 ومشاكل متعلقة بتوقيعات متعددة في 2023، وأبرز التحديات المستمرة في حماية الشفرة القديمة.
تشير تحليلات بلوكتشين من شركتي الأمن SEAL 911 وChainSecurity إلى نشر عقود مساعدة مؤقتة تفرغ ذاتها بعد التنفيذ، ما يعقد جهود الطب الشرعي. استغلّ المهاجم هذه العقود لزيادة عرض yETH واستخراج أصول حقيقية دون تفعيل إجراءات الحد القياسي للإصدار. أشارت التنبيهات على السلسلة إلى الشذوذ فورًا، وبدأ مجتمع الحوكمة في Yearn مناقشات حول خيارات التعويض عقب ذلك بقليل.
بعد الاستغلال، شهد رمز Yearn الأصلي YFI انخفاضًا مفاجئًا في السعر بنحو 5.5%، ما يعكس تراجع ثقة المستثمرين وتخفيضًا مؤقتًا في توقعات إيرادات البروتوكول. ارتفعت أحجام التداول مع استغلال روبوتات التحكيم والمتداولين التفاعليين للفروقات السعرية، ما زاد من تقلبات أسواق Yearn المرتبطة.
استجابت Yearn Finance بخطة إصلاح متعددة المحاور، بما في ذلك اقتراح حوكمة لتخويل توزيع Merkle من USDC بقيمة 3.2 مليون دولار للمشاركين المتأثرين، وتنفيذ تصحيح v1.1 لفرض حدود الإصدار، ونشر أدوات مراقبة فورية عبر جميع تجمعات مبادلة العملات المستقرة. كما عُرضت مكافأة أخطاء قدرها 500,000 دولار لاكتشافات مرتبطة بهدف تعزيز أمان الشفرة واستعادة ثقة المستخدمين.
ذاك الاختراق يذكر بوجود مخاطر في الحفاظ على عقود DeFi القديمة بجانب المعايير البروتوكولية المتطورة. وشدد مهندسو البروتوكول على خطط لإهمال المكونات القديمة لصالح بدائل مُراجَعة من المجتمع، مع الإشارة إلى صمود الخزائن الأساسية. لاحظ المراقبون أن ثغرات الإصدار اللانهائي ما تزال قناة هجوم حاسمة في التمويل اللامركزي، داعين إلى أطر أمنية موحدة ومراجعة طرف ثالث مستمرة.
على الرغم من الخرق، بقيت السيولة في خزائن V2 وV3 لـ Yearn سليمة، دون تقارير عن تعطيل في ودائع المستخدمين أو عمليات البروتوكول. راقب المشاركون في السوق مناقشات الحوكمة ونتائج التدقيق عن كثب، مع تقييم لآثارها الطويلة الأمد على اقتصاديات رموز البروتوكول وعلى منظومة DeFi الأوسع. وأبرز الحادث أهمية اليقظة الأمنية والاستجابة السريعة للحوادث في حماية بنية التمويل اللامركزي.
التعليقات (0)