Am 30. November 2025 um ca. 21:11 UTC nutzte ein Angreifer eine Minting-Schwachstelle im Legacy-yETH-Token-Vertrag von Yearn Finance aus. Durch das Erstellen von etwa 235 Billionen yETH-Tokens in einer einzigen Transaktion konnte der Angreifer rund 8 Millionen US-Dollar aus dem primären Stable-Swap-Pool und 0,9 Millionen US-Dollar aus dem yETH-WETH-Pool auf Curve abzweigen, was Gesamtschäden von fast 9 Millionen US-Dollar ergibt. Mittel im Gegenwert von rund 1.000 ETH wurden anschließend durch den Tornado Cash-Mixer geleitet, um die Spur zu verwischen.
Yearn Finance bestätigte den Vorfall umgehend und erläuterte, dass der Exploit ausschließlich die benutzerdefinierte Stable-Swap-Implementierung für das Legacy-yETH betraf und die V2- oder V3-Vault-Infrastruktur nicht kompromittiert wurde, die zusammen einen Gesamtwert von über 600 Millionen US-Dollar darstellen. Der Vorfall stellte den jüngsten Sicherheitsverstoß in Yearns Protokollgeschichte dar, nach früheren Exploits im Jahr 2021 und multisignaturbezogenen Problemen im Jahr 2023, und unterstrich die anhaltenden Herausforderungen beim Schutz von Legacy-Code.
Blockchain-Analysen der Sicherheitsfirmen SEAL 911 und ChainSecurity deuteten auf den Einsatz flüchtiger Hilfsverträge hin, die nach der Ausführung selbst zerstört wurden, was forensische Bemühungen erschwerte. Der Angreifer nutzte diese Verträge, um das yETH-Angebot zu erhöhen und reale Vermögenswerte zu extrahieren, ohne die standardmäßigen Mint-Limit-Sicherungen auszulösen. On-Chain-Warnungen meldeten die Anomalie sofort, und Yearns Governance-Community begann kurz darauf mit Diskussionen über Wiedergutmachungsoptionen.
Nach dem Exploit verzeichnete der native YFI-Token des Protokolls einen plötzlichen Kursrückgang von ca. 5,5 %, was einen Rückgang des Investorenvertrauens und eine vorübergehende Reduzierung der Umsatzprognosen des Protokolls widerspiegelte. Die Handelsvolumina stiegen, da Arbitrage-Bots und reaktive Trader von Preisunterschieden profitierten, was die Volatilität in Yearn-bezogenen Märkten weiter beschleunigte.
Als Reaktion darauf initiierte Yearn Finance einen mehrgleisigen Sanierungsplan, einschließlich eines Governance-Vorschlags, um einen Merkle-Airdrop im Wert von 3,2 Millionen USDC an betroffene Stakeholder zu genehmigen, die Implementierung eines Patchs v1.1 zur Durchsetzung der Minting-Limits und den Einsatz von Echtzeit-Überwachungswerkzeugen in allen Stable-Swap-Pools. Außerdem wurde eine Bug-Bounty in Höhe von 500.000 US-Dollar für verwandte Erkenntnisse angeboten, mit dem Ziel, die Codesicherheit zu stärken und das Vertrauen der Nutzer wiederherzustellen.
Der Vorfall diente als Erinnerung an die Risiken, die mit der Aufrechterhaltung von Legacy-DeFi-Verträgen neben sich weiterentwickelnden Protokollstandards verbunden sind. Die Protokollarchitekten betonten Pläne, Legacy-Komponenten zugunsten geprüfter, gemeinschaftlich validierter Alternativen abzuschaffen, während sie die Widerstandsfähigkeit der Kern-Vaults hervorhoben. Beobachter merkten an, dass Infinite-Mint-Schwachstellen nach wie vor ein kritischer Angriffsvektor in der dezentralen Finanzierung sind, was Forderungen nach standardisierten Sicherheitsrahmenwerken und kontinuierlicher Drittanbieterprüfung auslöste.
Trotz des Verstoßes blieb die Liquidität in Yearns V2- und V3-Vaults unverändert, und es wurden keine Beeinträchtigungen bei Einlagen oder im Betrieb gemeldet. Marktteilnehmer beobachteten Governance-Diskussionen und Audit-Ergebnisse genau und bewerteten potenzielle langfristige Auswirkungen auf die Tokenomics des Protokolls und das breitere DeFi-Ökosystem. Der Vorfall hob die Bedeutung robuster Sicherheitspraktiken und einer schnellen Incident-Reaktion zum Schutz der Infrastruktur der dezentralen Finanzen hervor.
Kommentare (0)