2025年11月30日、協定世界時(UTC)およそ21時11分頃、攻撃者はYearn Financeのレガシー yETH トークン契約の発行脆弱性を悪用しました。1回の取引で約235兆枚のyETHトークンを作成することにより、攻撃者はメインのステーブルスワッププールから約800万ドル、CurveのyETH-WETHプールから約90万ドルを吸い上げ、損失は合計約900万ドルに達しました。約1,000 ETHに相当する資金は、その後、跡を隠すためにTornado Cashミキサーを経由してルーティングされました。
Yearn Financeはこの事件を直ちに確認し、悪用はレガシー yETH のカスタムステーブルスワップ実装のみを対象とし、V2またはV3 Vaultのインフラには影響を及ぼさなかったことを明確にしました。これらは合わせて総額6億ドルを超える価値がロックされています。今回の事件は、2021年の過去の悪用と2023年のマルチシグ関連問題に続く、Yearnのプロトコル履歴における最新のセキュリティ侵害を示しており、レガシーコードの保護を巡る継続的な課題を浮き彫りにしました。
セキュリティ企業SEAL 911とChainSecurityによるブロックチェーン分析は、実行後に自己破壊する一時的なヘルパーコントラクトの展開を示しており、鑑識作業を複雑化させました。攻撃者はこれらのコントラクトを利用してyETHの供給を過大化させ、標準のミント上限保護を作動させることなく実資産を抽出しました。オンチェーンのアラートは異常を直ちに検知し、Yearnのガバナンス・コミュニティはその直後に賠償オプションについての協議を開始しました。
この悪用の後、YearnのネイティブトークンYFIは約5.5%の急落を経験し、投資家の信頼低下とプロトコル収益見通しの一時的な低下を反映しました。裁定ボットや反応型トレーダーが価格の乖離を利用して取引量を急増させ、Yearn関連市場のボラティリティをさらに加速させました。
これを受け、Yearn Financeは複数の是正策を含む対応計画を開始しました。影響を受けた関係者へ3.2百万 USDC Merkle配布を承認するガバナンス提案、ミント上限を強制するv1.1パッチの実装、すべてのステーブルスワップ・プールに対するリアルタイム監視ツールの展開を含みます。関連発見には追加で50万ドルのバグバウンティも提供され、コードのセキュリティを強化してユーザーの信頼を回復することを目的としています。
この攻撃は、進化するプロトコル標準と並行してレガシーDeFiコントラクトを維持する際に内在するリスクを思い出させました。プロトコルの設計者は、監査済みでコミュニティが検証した代替案へ移行するためにレガシーコンポーネントを廃止する計画を強調し、同時にコア・ヴォルトの堅牢性を強調しました。無限ミント脆弱性は分散型金融における重大な攻撃ベクトルであり続けるとする見方があり、標準化されたセキュリティフレームワークと継続的な第三者レビューの要請が呼びかけられました。
それでも YearnのV2およびV3ヴォルトの流動性は維持され、ユーザーの預金や運用には支障は報告されませんでした。市場参加者はガバナンスの議論と監査結果を綿密に監視し、プロトコルのトークノミクスやより広範なDeFiエコシステムへの長期的影響を評価しました。この事件は、分散型金融インフラを守るための慎重なセキュリティ慣行と迅速なインシデント対応の重要性を再認識させました。
コメント (0)