Il 30 novembre 2025 verso le 21:11 UTC, un attaccante ha sfruttato una vulnerabilità di conio nel contratto del token yETH legacy di Yearn Finance. Creando circa 235 trilioni di token yETH in una singola transazione, l'attaccante è riuscito a drenare circa 8 milioni di dollari dal pool primario di stableswap e 0,9 milioni di dollari dal pool yETH-WETH su Curve, per un totale di quasi 9 milioni di dollari di perdite. Fondi equivalenti a circa 1.000 ETH sono stati successivamente instradati tramite il mixer Tornado Cash per oscurare la traccia.
Yearn Finance ha prontamente confermato l'incidente, chiarendo che l'exploit ha interessato solo l'implementazione personalizzata di stable-swap per yETH legacy e non ha compromesso l'infrastruttura Vault V2 o V3, che nel complesso mantiene un valore totale bloccato superiore a 600 milioni di dollari. L'incidente rappresenta l'ultima violazione della sicurezza nella storia del protocollo di Yearn, a seguito di exploit precedenti nel 2021 e problemi legati alle firme multiple nel 2023, sottolineando le sfide continue nella salvaguardia del codice legacy.
Analisi blockchain condotte dalle società di sicurezza SEAL 911 e ChainSecurity hanno indicato l'impiego di contratti helper effimeri che si autodistruggevano dopo l'esecuzione, complicando gli sforzi forensi. L'attaccante ha sfruttato tali contratti per gonfiare l'offerta di yETH ed estrarre asset reali senza attivare le salvaguardie standard dei limiti di conio. Avvisi on-chain hanno segnalato immediatamente l'anomalia, e la comunità di governance di Yearn ha avviato discussioni sulle opzioni di restituzione poco dopo.
Dopo l'exploit, il token nativo del protocollo, YFI, ha subito una repentina perdita di prezzo di circa il 5,5%, riflettendo un calo della fiducia degli investitori e una temporanea riduzione delle proiezioni dei ricavi del protocollo. I volumi di trading sono aumentati rapidamente poiché bot di arbitraggio e trader reattivi hanno capitalizzato sulle dislocazioni di prezzo, accelerando ulteriormente la volatilità nei mercati associati a Yearn.
In risposta, Yearn Finance ha avviato un piano di rimedio multi-dimensionale, tra cui una proposta di governance per autorizzare un airdrop Merkle USDC da 3,2 milioni di dollari agli stakeholder interessati, l'implementazione di una patch v1.1 per far rispettare i limiti di conio e il dispiegamento di strumenti di monitoraggio in tempo reale in tutti i pool di stable-swap. È stato inoltre offerto un bounty per bug di 500.000 dollari per eventuali scoperte correlate, con l'obiettivo di rafforzare la sicurezza del codice e ripristinare la fiducia degli utenti.
L'exploit ha ricordato i rischi insiti nel mantenere contratti DeFi legacy insieme a standard di protocollo in evoluzione. Gli architetti del protocollo hanno enfatizzato piani per deprecare componenti legacy a favore di alternative verificate dalla comunità, evidenziando al contempo la resilienza delle vault principali. Gli osservatori hanno notato che le vulnerabilità di conio infinito restano un vettore di attacco critico nella finanza decentralizzata, sollecitando l'adozione di framework di sicurezza standardizzati e revisioni continue da parte di terze parti.
Nonostante la violazione, la liquidità nelle vault V2 e V3 di Yearn è rimasta intatta, senza interruzioni segnalate nelle operazioni o nei depositi degli utenti. Gli operatori di mercato hanno monitorato da vicino le discussioni di governance e i risultati delle verifiche, valutando le potenziali implicazioni a lungo termine per la tokenomics del protocollo e per l'ecosistema DeFi più ampio. L'incidente ha sottolineato l'importanza di pratiche di sicurezza vigili e di una pronta risposta agli incidenti nel salvaguardare l'infrastruttura della finanza decentralizzata.
Commenti (0)