Dne 30. listopadu 2025 kolem 21:11 UTC využil útočník zranitelnost mintingu v původním, zastaralém kontraktu tokenu yETH společnosti Yearn Finance. Vytvořením zhruba 235 bilionů tokenů yETH v jedné transakci se útočníkovi podařilo odčerpat přibližně 8 milionů dolarů z hlavního poolu StableSwap a 0,9 milionu dolarů z poolu yETH-WETH na Curve, což dohromady představovalo ztráty téměř 9 milionů dolarů. Prostředky odpovídající zhruba 1 000 ETH byly následně převedeny přes mixér Tornado Cash, aby se stopa zakryla.
Yearn Finance rychle potvrdila incident a upřesnila, že útok postihl jen vlastní implementaci stabilního swapu pro legacy yETH a nezpůsobil kompromitaci infrastruktury Vault V2 a V3, která dohromady drží uzamčenou hodnotu překračující 600 milionů dolarů. Tento incident byl nejnovějším bezpečnostním průlomem v historii protokolu Yearn, navazujícím na předchozí útoky v roce 2021 a problémy související s multisignature v roce 2023, a podtrhl trvající výzvy kolem ochrany legacy kódu.
Analýza blockchainu provedená bezpečnostními firmami SEAL 911 a ChainSecurity naznačila nasazení dočasných pomocných kontraktů, které po provedení samy zanikly, čímž ztížily forenzní vyšetřování. Útočník tyto kontrakty využil k nafouknutí nabídky yETH a vyvedení skutečných aktiv bez aktivace standardních ochran proti překročení limitu mintingu. Upozornění na blockchainu okamžitě zdůraznilo tuto anomálii a správcovská komunita Yearn krátce nato zahájila diskuse o možnostech náhrad.
Po útoku došlo k náhlému poklesu ceny nativního tokenu Yearn, YFI, o přibližně 5,5 %, což odráží pokles důvěry investorů a dočasné snížení projekcí výnosů protokolu. Objem obchodů prudce vzrostl, arbitrážní boty a reaktivní obchodníci zúročili cenové odchylky, čímž dále urychlili volatilitu na trzích souvisejících s Yearn.
Na oplátku Yearn Finance zahájila víceúrovňový plán nápravných opatření, včetně návrhu správy k schválení Merkle airdropu USDC v hodnotě 3,2 milionu USD pro dotčené zainteresované strany, implementace patche verze v1.1 k prosazení limitů mintingu a nasazení nástrojů pro monitorování v reálném čase napříč všemi pooly StableSwap. Také byla nabídnuta odměna za nalezení chyb ve výši 500 000 USD pro související nálezy s cílem posílit bezpečnost kódu a obnovit důvěru uživatelů.
Útok byl připomínkou rizik spojených s udržováním legacy DeFi kontraktů spolu s vývojem protokolových standardů. Architekti protokolu zdůraznili plány na postupné ukončování zastaralých komponent ve prospěch auditovaných, komunitou prověřených alternativ, přičemž zdůraznili odolnost jádrových trezorů. Pozorovatelé uvedli, že zranitelnosti nekonečného mintingu zůstávají kritickým vektorem útoku v decentralizovaných financích, což vyvolalo výzvy k standardizovaným bezpečnostním rámcům a trvalé revizi třetími stranami.
Navzdory průniku zůstala likvidita v trezorech Yearn V2 a V3 nedotčena a nebyly hlášeny žádné výpadky v uživatelských vkladech ani provozu. Účastníci trhu pečlivě sledovali diskuse o správě a zjištění auditů a zvažovali potenciální dlouhodobé dopady na tokenomiku protokolu a širší DeFi ekosystém. Incident zdůraznil důležitost ostražitých bezpečnostních praktik a rychlé reakce na incidenty při zabezpečování infrastruktury decentralizovaných financí.
Komentáře (0)