Op 30 november 2025 rond 21:11 UTC heeft een aanvaller een minting-kwetsbaarheid in Yearn Finance’s legacy yETH-tokencontract uitgebuit. Door in één transactie ongeveer 235 biljoen yETH-tokens te creëren, kon de aanvaller ongeveer 8 miljoen dollar weglekken uit de primaire stableswap-pool en 0,9 miljoen dollar uit de yETH-WETH-pool op Curve, wat samen neerkomt op bijna 9 miljoen dollar aan verliezen. Fondsen ter waarde van ongeveer 1.000 ETH werden vervolgens via de Tornado Cash-mixer geleid om het spoor te verdoezelen.
Yearn Finance bevestigde het incident onmiddellijk en verduidelijkte dat de exploit uitsluitend betrekking had op de aangepaste stable-swap-implementatie voor legacy yETH en dat de V2- en V3 Vault-infrastructuur niet is aangetast, wat samen een totale vergrendelde waarde van meer dan $600 miljoen vertegenwoordigt.
Blockchain-analyses door beveiligingsbedrijven SEAL 911 en ChainSecurity wezen op de inzet van tijdelijke helper-contracten die na uitvoering zelfvernietigden, waardoor forensisch onderzoek werd bemoeilijkt. De aanvaller maakte gebruik van deze contracten om het yETH-aanbod op te voeren en echte activa te extraheren zonder de standaard mint-limietbeveiligingen te activeren. On-chain-waarschuwingen wezen onmiddellijk op de afwijking, en Yearn’s governance-gemeenschap begon kort daarna met discussies over restitutiemogelijkheden.
Na de exploit daalde de native YFI-token van het protocol plotseling met ongeveer 5,5%, wat een daling in het vertrouwen van beleggers en een tijdelijke vermindering van de inkomstenprognoses van het protocol weerspiegelt. De handelsvolumes stegen aanzienlijk terwijl arbitrage-bots en reactieve handelaren profiteerden van prijsdislocaties, wat de volatiliteit in Yearn-geassocieerde markten verder versnelde.
Als reactie hierop heeft Yearn Finance een meervoudig herstelplan gelanceerd, waaronder een governance-voorstel om een Merkle-airdrop van $3,2 miljoen USDC toe te kennen aan getroffen belanghebbenden, de implementatie van een patch v1.1 om mint-limieten te handhaven, en de inzet van real-time bewakingsmiddelen over alle stable-swap-pools. Een bug bounty van $500.000 werd eveneens aangeboden voor gerelateerde bevindingen, met als doel de codeveiligheid te versterken en het vertrouwen van gebruikers te herstellen.
De exploit dient als herinnering aan de risico's die inherent zijn aan het onderhouden van verouderde DeFi-contracten naast evoluerende protocolstandaarden. Architecten van het protocol benadrukten plannen om legacy-componenten te depreceren ten gunste van geauditeerde, door de gemeenschap geteste alternatieven, terwijl ze de veerkracht van de kernvaults onderstreepten. Waarnemers merkten op dat oneindige mint-kwetsbaarheden nog steeds een kritisch aanvalsvector vormen in gedecentraliseerde financiën, wat pleitte voor gestandaardiseerde beveiligingskaders en voortdurende beoordeling door derden.
Ondanks de inbraak bleef de liquiditeit in Yearn’s V2- en V3-vaults ongewijzigd, met geen storingen gemeld in gebruikersstortingen of operationele activiteiten. Marktdeelnemers hielden governance-discussies en auditbevindingen nauwlettend in de gaten en evalueerden mogelijke langetermijngevolgen voor de tokenomics van het protocol en het bredere DeFi-ecosysteem. Het incident benadrukte het belang van waakzame beveiligingspraktijken en een snelle incidentrespons bij het beschermen van de infrastructuur van gedecentraliseerde financiën.
Reacties (0)