2025. november 30-án, körülbelül 21:11 UTC idő szerint egy támadó kiaknázta a Yearn Finance öröklött yETH token szerződésében található kibocsátási sebezhetőséget. Egyetlen tranzakcióban körülbelül 235 billió yETH tokent létrehozva a támadó mintegy 8 millió dollár értékű kárt okozott a fő stableswap-medencéből, és 0,9 millió dollár értékű kárt a Curve-en található yETH-WETH medencéből, összesen közel 9 millió dollár értékű veszteséget. Az ezt követően körülbelül 1 000 ETH-nek megfelelő összeg a Tornado Cash keverőn keresztül lett irányítva, hogy elrejtsék a nyomokat.
Yearn Finance gyorsan megerősítette az eseményt, világossá téve, hogy a kiaknázás csak a régi yETH-hez készült egyedi stabil-swap implementációját érintette, és nem érintette a V2 vagy V3 Vault infrastruktúrát, amelyek összességében több mint 600 millió dollár értékű vagyont zártak le. Az eset a Yearn protokoll történetének legújabb biztonsági megsértése volt, amely az 2021-es korábbi kiaknázások és a 2023-as multisignature-rel kapcsolatos problémák után következett, és aláhúzta a régi kódok védelmének folyamatos kihívásait.
A SEAL 911 és ChainSecurity biztonsági vállalatok általi blokklánc-elemzés szerint ideiglenes segédkontraktusok bevetésére utaltak, amelyek végrehajtás után önmagukatól megsemmisültek, megnehezítve a nyomozást. A támadó ezekkel a kontraktusokkal növelte a yETH-kínálatot, és kivont valós eszközöket anélkül, hogy aktiválta volna a szokásos mint-limit védelmeket. Az on-chain riasztások azonnal jelezték a rendellenességet, és Yearn irányítási közössége röviddel ezután megkezdte a kártérítési lehetőségek tárgyalását.
A kiaknázást követően a protokoll natív YFI tokene hirtelen mintegy 5,5%-os áresést szenvedett el, tükrözve a befektetői bizalom csökkenését és a protokoll bevételi prognóziseinek ideiglenes csökkentését. A kereskedési volumen megugrott, mivel az arbitrázs-botok és a reakciókereskedők kiaknázva az árfolyam-eltolódásokat, tovább gyorsították a Yearn-hez kapcsolódó piacok volatilitását.
A Yearn Finance egy többágú helyreállítási tervet indított, többek között egy kormányzási javaslatot, amely jóváhagyja egy 3,2 millió USDC Merkle airdropot az érintett érdekeltjeinek, a minting korlátok érvényesítését célzó v1.1-es javítást, és valós idejű monitorozó eszközök telepítését az összes stabil-swap medencében. Ezenkívül 500 000 dolláros hibakeresési jutalmat is felajánlottak a kapcsolódó feltárásokért, a kódbiztonság megerősítése és a felhasználói bizalom visszaállítása érdekében.
Az incidens ráébresztett arra, hogy a hagyományos DeFi-szerződések és a fejlődő protokoll-szabványok párhuzamos fenntartása számos kockázatot rejt. A protokoll-építészek hangsúlyozták a régi összetevők fokozatos kivonásának terveit auditált, közösség által jóváhagyott alternatívák előtérbe helyezésével, miközben a magközponti letéti rendszer rugalmasságát hangsúlyozták. A megfigyelők kiemelték, hogy a végtelen mint-kiaknázások továbbra is kulcsfontosságú támadási vektorok a decentralizált pénzügyekben, és felhívták a figyelmet a szabványosított biztonsági keretrendszerek és a folyamatos harmadik fél felülvizsgálatának szükségességére.
A behatolás ellenére Yearn V2 és V3 vaultjainak likviditása érintetlen maradt, felhasználói betétekben vagy működésben nem észleltek zavarokat. A piaci résztvevők szorosan nyomon követték a kormányzási vitákat és az audit eredményeit, értékelve a protokoll tokenomicsára és a szélesebb DeFi ökoszisztéma hosszú távú lehetséges következményeit. Az esemény hangsúlyozta a körültekintő biztonsági gyakorlatok és a gyors incidens-reakció fontosságát a decentralizált pénzügyi infrastruktúra védelmében.
Hozzászólások (0)