30. novembril 2025, umbes kell 21:11 UTC, kasutas ründaja Yearn Finance'i vanema yETH-tokendi lepingu loomisega seotud loomise haavatust. Ühe tehingu käigus loodi umbes 235 triljonit yETH-tokenit, millega õnnestus ründajal varastada umbes 8 miljonit dollarit peamise stableswap'i basseinis ja 0,9 miljonit dollarit Curve'i yETH-WETH basseinis, kokku ligikaudu 9 miljonit dollarit kahjumit. Raha, mis vastab ligikaudu 1 000 ETH-ile, suunati seejärel Tornado Cashi segisti kaudu jälje varjamiseks.
Yearn Finance kinnitas sündmuse viivitamatult, täpsustades, et eksploiteerimine puudutas ainult vanema yETH jaoks kohandatud stabiilvahetuse teostust ning ei mõjutanud V2- või V3 Vaulti infrastruktuuri, mille koguväärtus lukustatud varad ületab 600 miljonit dollarit. Juhtum oli Yearn'i protokolli ajaloo uusim turvakatkestus, järgides varasemaid rünnakuid 2021. aastal ja multisignature-ga seotud probleeme 2023. aastal, ning rõhutas jätkuvaid väljakutseid vananenud koodi kaitsmisel.
SEAL 911 ja ChainSecurityi turvafirmade analüüs näitas ajutiste abi‑lepingute kasutamist, mis kustusid täitmise järel, raskendades järelduste tegemist. Ründaja kasutas neid lepinguid yETH-i pakkumise suurendamiseks ja tegelike varade väljavõtmiseks, ilma et käivituksid tavapärased loomise piirangud. On‑chain teavitused märkasid anomaalia koheselt, ning Yearni juhtkond alustas pärast seda kompenseerimisvõimaluste arutelu.
Pärast ekspluateerimist langes protokolli YFI‑token järsult umbes 5,5%, peegeldades investorite usalduse langust ja ajutist protokolli tuluprognooside langust. Kaubandusmaht kasvas, kuna arbitraažibotid ja reageerivad kauplejad kasutasid hinnavahedega kauplemise võimalusi, suurendades Yearni seotud turgude volatiilsust.
Vastuseks koostas Yearn Finance mitmepalgelise paranduste kava, sealhulgas juhtkonna ettepaneku lubada 3,2 miljoni USDC Merkle-airdrop mõjutatud sidusrühmadele, v1.1 plaastri rakendamise loomise piirangute jõustamiseks ja reaalajas jälgimisvahendite kasutuselevõtmiseks kõigil stabiilvahetuse basseinidel. Lisaks pakuti 500 000-dollarist bug bounty’d seotud leidude eest, eesmärgiga tugevdada koodi turvalisust ja taastada kasutajate usaldus.
Rünnak oli meenutus riskidest, mis kaasnevad vanade DeFi-kontraktide hooldamisega koos arenevate protokollide standarditega. Protokolli arhitektid rõhutasid kavatsust vananenud komponentide kasutusest loobuda ning asendada need auditeeritud, kogukonna poolt kinnitatud alternatiividega, rõhutades samal ajal põhivaultide vastupidavust. Jälgijad märkisid, et lõpmatu loomise haavatavused on endiselt kriitiline rünnaku oht detsentraliseeritud finantsides, kutsudes esile vajaduse standardiseeritud turvaraamistike ja pideva kolmanda osapoole ülevaatuse järele.
Hoolimata rikkest püsis Yearni V2 ja V3 Vaultide likviidsus puutumata, ning kasutajate sissemaksete või toimingute osas ei olnud katkestusi. Turuosalised jälgisid juhtimise arutelusid ja audititulemusi hoolikalt, hinnates potentsiaalseid pikaajalisi mõjusid protokolli tokenomikale ja laiemale DeFi ökosüsteemile. Juhtum rõhutas valvsate turvapraktikate ja kiire reageerimise tähtsust detsentraliseeritud finants-infrastruktuuri kaitsmisel.
Kommentaarid (0)