Pada 30 November 2025 sekitar pukul 21:11 UTC, seorang penyerang mengeksploit kerentanan minting dalam kontrak token yETH legasi Yearn Finance. Dengan menghasilkan sekitar 235 trilion token yETH dalam satu transaksi, penyerang berjaya menyedut kira-kira $8 juta daripada kol utama StableSwap dan $0.9 juta daripada kol yETH-WETH di Curve, menjadikan jumlah kerugian hampir $9 juta. Dana yang bersamaan dengan kira-kira 1,000 ETH kemudiannya dialihkan melalui mixer Tornado Cash untuk mengaburkan jejak.
Yearn Finance dengan segera mengesahkan kejadian itu, menjelaskan bahawa eksploitasi itu hanya menjejaskan pelaksanaan stable-swap khas untuk yETH legasi dan tidak menjejaskan infrastruktur Vault V2 atau V3, yang secara kolektif menjaga nilai terkunci melebihi $600 juta. Kejadian ini merupakan pelanggaran keselamatan terkini dalam sejarah protokol Yearn, selepas eksploitasi sebelumnya pada 2021 dan isu berkaitan multisignature pada 2023, serta menekankan cabaran berterusan dalam menjaga kod legasi.
Analisis blockchain oleh firma keselamatan SEAL 911 dan ChainSecurity menunjukkan penyebaran kontrak pembantu sementara yang memusnahkan diri selepas pelaksanaan, menyukarkan usaha forensik. Penyerang menggunakan kontrak-kontrak ini untuk meningkatkan bekalan yETH dan mengekstrak aset sebenar tanpa mencetuskan had mint standard. Amaran dalam talian menandakan anomali itu sejurus sahaja, dan komuniti tadbir urus Yearn mula membincangkan pilihan pampasan sejurus selepas itu.
Selepas eksploit itu, mata wang YFI token asli protokol mengalami penurunan harga mendadak kira-kira 5.5%, mencerminkan kejatuhan keyakinan pelabur dan pengurangan sementara dalam unjuran pendapatan protokol. Volum dagangan meningkat apabila bot arbitrage dan pedagang reaktif mengambil peluang daripada penyimpangan harga, sekali lagi mempercepat volatiliti di pasaran berkaitan Yearn.
Dalam responsnya, Yearn Finance memulakan pelan pemulihan berbilang langkah, termasuk cadangan tadbir urus untuk meluluskan airdrop Merkle USDC bernilai $3.2 juta kepada pihak berkepentingan yang terkesan, pelaksanaan patch v1.1 untuk menguatkuasakan had mint, dan penyebaran alat pemantauan masa nyata di semua kol StableSwap. Ganjaran pepijat sebanyak $500,000 juga ditawarkan untuk penemuan berkaitan, dengan tujuan memperkukuh keselamatan kod dan memulihkan keyakinan pengguna.
Eksploit itu mengingatkan risiko yang wujud dalam penyelenggaraan kontrak DeFi legasi berserta standard protokol yang sedang berkembang. Arkitek protokol menekankan rancangan untuk menggugurkan komponen legasi demi alternatif yang telah diaudit dan disahkan oleh komuniti, sambil menonjolkan ketahanan vault teras. Pemerhati mencatat bahawa kerentanan mint tanpa had kekal sebagai vektor serangan utama dalam kewangan terdesentralisasi, mendorong seruan untuk rangka kerja keselamatan yang seragam dan semakan pihak ketiga secara berterusan.
Walaupun pelanggaran itu, likuiditi dalam vault V2 dan V3 Yearn kekal utuh, tanpa gangguan dilaporkan dalam deposit atau operasi pengguna. Peserta pasaran memantau perbincangan tadbir urus dan penemuan audit dengan teliti, menilai implikasi jangka panjang terhadap tokenomics protokol dan ekosistem DeFi yang lebih luas. Kejadian ini menekankan pentingnya amalan keselamatan yang berhati-hati dan respons kejadian yang pantas dalam melindungi infrastruktur kewangan terdesentralisasi.
Komen (0)