Το hack της Yearn Finance DeFi εκμεταλλεύεται την ευπάθεια yETH, αποστραγγίζοντας 9 εκατομμύρια δολάρια

Την 30ή Νοεμβρίου 2025, περίπου στις 21:11 UTC, ένας επιτιθέμενος αξιοποίησε μια ευπάθεια έκδοσης στην παλιά σύμβαση του yETH token της Yearn Finance. Δημιουργώντας περίπου 235 τρισεκατομμύρια tokens yETH σε μία μόνο συναλλαγή, ο επιτιθέμενος κατάφερε να αποσπάσει περίπου 8 εκατομμύρια δολάρια από την κύρια δεξαμενή σταθεροποίησης (stableswap pool) και 0,9 εκατομμύρια δολάρια από τη δεξαμενή yETH-WETH στο Curve, συνολικά κοντά στα 9 εκατομμύρια δολάρια ζημίας. Τα κεφάλαια αντίστοιχα με περίπου 1.000 ETH διοχετεύθηκαν ακολούθως μέσω του αναμικτήρα Tornado Cash για να καλύψουν τα ίχνη. Η Yearn Finance επιβεβαίωσε άμεσα το περιστατικό, διευκρινίζοντας ότι η εκμετάλλευση αφορούσε μόνο την προσαρμοσμένη υλοποίηση σταθερού‑swap για το legacy yETH και δεν παραβίασε την υποδομή Vault V2 ή V3, οι οποίες διατηρούν συνολικά αξία κλειδωμένη πάνω από 600 εκατομμύρια δολάρια. Το περιστατικό αποτέλεσε το πλέον πρόσφατο κρούσμα ασφάλειας στην ιστορία του πρωτοκόλλου Yearn, ακολουθώντας προηγούμενες επιθέσεις το 2021 και ζητήματα σχετιζόμενα με multisignature το 2023, και ανέδειξε τις συνεχιζόμενες προκλήσεις γύρω από τη διατήρηση legacy κώδικα. Οι αναλύσεις blockchain από τις εταιρείες ασφαλείας SEAL 911 και ChainSecurity έδειξαν την ανάπτυξη εφήμερων βοηθητικών συμβολαίων που αυτοκαταστρέφονταν μετά την εκτέλεση, περιπλέκοντας τις εγκληματολογικές έρευνες. Ο επιτιθέμενος αξιοποίησε αυτά τα συμβόλαια για να αυξήσει την προσφορά yETH και να εξάγει πραγματικά περιουσιακά στοιχεία χωρίς να ενεργοποιηθούν τα συνήθη όρια έκδοσης. Οι ειδοποιήσεις στο blockchain σήμαναν αμέσως την ανωμαλία, και η κοινότητα διακυβέρνησης της Yearn ξεκίνησε συζητήσεις σχετικά με επιλογές αποζημίωσης λίγο αργότερα. Μετά από την εκμετάλλευση, το εγγενές διακριτικό YFI του πρωτοκόλλου σημείωσε ξαφνική πτώση τιμής κατά περίπου 5,5%, αντικατοπτρίζοντας μείωση της εμπιστοσύνης των επενδυτών και προσωρινή μείωση στις προβλέψεις εσόδων του πρωτοκόλλου. Οι όγκοι συναλλαγών σημείωσαν αιφνίδια άνοδο καθώς αρμπιτράζ μπότ και αντιδραστικοί traders αξιοποίησαν τις αποκλίσεις στις τιμές, επιταχύνοντας τη μεταβλητότητα στις αγορές που σχετίζονται με το Yearn. Σε αντίδραση, το Yearn Finance ξεκίνησε ένα πολύπλευρο σχέδιο αποκατάστασης, που περιλαμβάνει μια πρόταση διακυβέρνησης για εξουσιοδότηση ενός Merkle airdrop ύψους 3,2 εκατομμυρίων USDC προς τους επηρεαζόμενους, την υλοποίηση ενός patch v1.1 για επιβολή περιορισμών έκδοσης, και την ανάπτυξη εργαλείων παρακολούθησης σε πραγματικό χρόνο σε όλες τις δεξαμενές σταθερού swap. Προσφέρθηκε επίσης βραβείο σφαλμάτων ύψους 500.000 δολάρια για σχετικά ευρήματα, με στόχο την ενίσχυση της ασφάλειας του κώδικα και την αποκατάσταση της εμπιστοσύνης των χρηστών. Η επίθεση υπενθύμισε τους κινδύνους που συνεπάγονται με τη διατήρηση παλαιών συμβολαίων DeFi παράλληλα με εξελισσόμενα πρωτόκολλα. Οι αρχιτέκτονες του πρωτοκόλλου υπογράμμισαν σχέδια απόσυρσης παλαιών στοιχείων υπέρ ελεγμένων, κοινοτικά εγκριμένων εναλλακτικών, ενώ επισήμαναν την ανθεκτικότητα των βασικών vaults. Οι παρατηρητές σημείωσαν ότι ευπάθειες άπειρης έκδοσης παραμένουν κρίσιμος παράγοντας επίθεσης στην αποκεντρωμένη χρηματοδότηση, προκαλώντας κλήσεις για τυποποιημένα πλαίσια ασφάλειας και συνεχή εξωτερική αξιολόγηση από τρίτους. Παρά την παραβίαση, η ρευστότητα στα vault V2 και V3 της Yearn παρέμεινε άθικτη, χωρίς διαταραχές στις καταθέσεις των χρηστών ή στις λειτουργίες. Οι συμμετέχοντες στην αγορά παρακολούθησαν στενά τις συζητήσεις διακυβέρνησης και τα ευρήματα των ελέγχων, αξιολογώντας πιθανές μακροπρόθεσμες επιπτώσεις για το tokenomics του πρωτοκόλλου και τον ευρύτερο χώρο DeFi. Το περιστατικό υπογράμμισε τη σημασία της επιμελούς ασφάλειας και της γρήγορης αντίδρασης σε περιστατικά για τη διασφάλιση των δομών της αποκεντρωμένης χρηματοδότησης.